戻る


プライバシー侵害にならない? 政府がIoT機器に異例の無差別侵入

プライバシー侵害にならない? 政府がIoT機器に異例の無差別侵入

写真拡大

政府が1月25日に発表した、サイバー攻撃対策を目的とした調査計画が波紋を呼んでいる。

総務省所管の情報通信研究機構が、全国のルーターやウェブカメラなどのIoT機器を対象に、外部から侵入を試み、セキュリティのぜい弱性をチェックするというものだが、インターネットユーザーからは「プライバシーの侵害では」など、疑問の声が上がっている。

実際にはどのような調査が行われるのだろうか。

総務省によると、調査は、2020年東京オリンピック・パラリンピックを見据え「サイバー攻撃に悪用される恐れがある機器を見つけ、注意喚起すること」が目的で、2月から2024年3月までの実施を予定している。

調査では、まず国内の約2億個のグローバルIPアドレスにアクセス。このうち、IDやパスワードなどのセキュリティ情報が求められた場合に、過去の大規模サイバー攻撃で使われるなどしたIDとパスワードの組み合わせ約100通りを入力して侵入を試みるという。

具体的には、「aaaa」「5555」などの同一英数字や、「abcd」「123123」などの連続した英数字のほか、初期設定で使われている英数字などが入力される。

調査に使われる発信元IPアドレスは総務省ウェブサイトで公開(http://www.soumu.go.jp/main_content/000595925.pdf)されている。

接続が認証されると、そのIPアドレスと認証日時が電気通信事業者(プロバイダ)に共有され、ユーザーの元にセキュリティ情報の再設定などを求める注意喚起が届くという流れだ。

本来なら、他人のIDやパスワードなどを利用し侵入を試みる行為は不正アクセス禁止法に違反する。だが総務省では昨年3月、特例的に今回の調査を認める、情報通信研究機構法の改正法案を国会に提出、同11月に施行していた。

国が市民のIoT機器にアクセスするという調査は異例で、「プライバシーの侵害では」などの声も聞かれる。

これに対し、総務省サイバーセキュリティ統括官室の後藤篤志参事官補佐は、「接続が認証されても、その瞬間に通信を切るため、内部のユーザー情報などを見ることはない」と説明。情報を受け取ったプロバイダ側がサイバー攻撃される恐れに対しては、「必要な措置をとってもらい、安全管理を求めていく」とした。

今後、同省のウェブサイトに解説ページを設けるなどして調査への理解を求めていくという。

情報セキュリティ大学院大学の湯淺墾道教授は、今回の調査の必要性について「デフォルトのパスワードのままで接続されている機器類が少なくないので、緊急性が高いのは事実」と理解を示す一方、「あくまでもオリンピック・パラリンピックを目前として緊急の施策と考えるべき」と強調。

懸念として、「アクセスできたらすぐログアウトすると言っているが、中のファイル類を一時的に閲覧するということはないか。IoT機器の通信先も取得してしまうと、通信の秘密に抵触する恐れが出てくる」と述べた。

こうした調査を国が行うことについては、「これを機会に、IoT機器は国が国の費用でぜい弱性を検査するということが常態化してしまっても良いのか」と疑問を呈し、「これまでの政策では、自主的に対策を取ることを求めてきた。

今回の施策が、その原則を転換するものであるとすれば、今後はどんどん費用が大きくなっていく」と、費用負担のあり方も問題になるとした。

またセキュリティ全体を考えると、利用者を対象にした調査だけではなく、メーカーや販売元への規制も必要と指摘。

「2020年からカリフォルニアで施行されるIoTセキュリティ法は、製造販売社などに、デフォルトのパスワードのままで接続できないような仕様とすることを義務づけるなど、機器サプライヤーに義務を課している」と事例を示し、「機器類側への規制と、IoT機器を接続しているユーザー側との両面から対策を考えていくべき」と話した。

原文リンク

本站帖子來源於互聯網,轉載不代表認可其真實性,亦不代表本站觀點!
關於本站| 官方微博| 私たちの関心網| よくある問題| 意見反饋|copyright 私たちの関心網