第902回：NOTICEとは

サイバー攻撃に悪用されそうな機器ユーザーへの注意喚起

　2019年2月20日から、総務省、国立研究開発法人情報通信研究機構（NICT）およびインターネットプロバイダー（ISP）が連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE」を始めました。

　ここで用いられる「NOTICE」は、英語の“National Operation Towards IoT Clean Environment”の略で、日本語にすると「IoTの環境浄化へ向けた国家的な作戦」となるでしょうか。

　IoT機器を初めとしてインターネットに接続される機器が増えるに従って「汚く」なる環境を、浄化しようというわけです。この「汚い」が何を意味するかですが、「サイバー攻撃」や「攻撃に使われるマルウエア」の蔓延するネットワークという意味です。

　現在では、多くの機器がインターネットに接続されています。インターネットといえば、もっとも簡単に思い浮かぶのはPCでしょうが、PCとインターネット回線間にはルーターやモデムもありますし、また、ルーターからは家庭内ネットワークを経由でセンサーやウェブカメラといったIoT機器が接続されている場合もあります。

　現在では、本当にさまざまな機器がインターネットに接続されているのです。

　これらは、インターネットとデータをやりとりできるので非常に便利で、たとえば、ルーターは、外部からリモートでファームウエアアップデートなどができるようになっていますし、センサーは室内の温度を測って常にユーザーのスマートフォンに伝えられるようになっています。

　反面、これらの機能は、正しく管理しないとサイバー攻撃の対象にされたり、あるいは対象にされた末に自らも他の機器への攻撃を仕掛けるよう乗っ取られるという可能性もあります。

　特にルーターなどの周辺機器や、IoT機器などは、管理が行き届きにくいうえに、ライフサイクルが長い製品が多いなど、サイバー攻撃に狙われやすいという特徴があります。実際に、NICTによれば、IoT機器を狙った侵入の試みは2016年の段階でもインターネット全体の攻撃用通信の3分の2を占めているとしています。

　NOTICEの取組では、NICTにより「インターネット上の機器で、サイバー攻撃に悪用されるおそれのある機器を調査し」、それをもとに各ISPが「NICTから受け取った情報を元に当該機器の利用者を特定し、注意喚起を行う」、そして注意喚起を受けた利用者が、注意喚起内容などに従って、適切なセキュリティ対策を行う、ということになります。

　NOTICEには現在、2019年4月現在20以上のインターネットプロバイダが参加しており、この数は今後も増加の予定です。

　なお、 NOTICEにおける利用者への注意喚起は、ユーザが契約するインターネットプロバイダー以外からは行われません 。また、インターネットプロバイダーからの注意喚起や、NOTICEサポートセンターでの案内にあたり、 費用の請求や、設定しているパスワードを聞き出すことは絶対にありません 。

危険な機器の発見から、注意喚起までのルート

　実際にNOTICEで、どのように危険な機器の発見を行い、ユーザーへの注意喚起がなされるかまでを見ていきましょう。

　（悪意の攻撃者が行うのと近い手段ですが）NOTICEにおいても、まずNICTが、日本国内にあるグローバルIPアドレス（IPv4）を持つ機器約2億台を対象に調査を行います。

　この際には、まず、ポートスキャン（接続可能なポートがないか探すこと）を行います。続いて接続可能で、かつID､パスワード認証要求があるようなポートであった場合過去に大規模サイバー攻撃に使われたIDパスワードの組み合わせ約100通りなどでの機器へのアクセスを試みます。

　これまでは、このようなアクセスを行うことは不正アクセス禁止法に触れましたが、NOTICEのような調査の場合、2018年5月に改正された国立研究開発法人情報通信研究機構法（NICT法）によって可能になりました。

　もしこれらでアクセス可能だった場合は、「アクセス行為可能」として、試みた通信記録を作成し、アクセス先の設備が使っているインターネットサービスプロバイダーへ「アクセス記録」が提示されます。

　そして、プロバイダーが、攻撃が可能な状態になっている（つまり脆弱性がある）機器のユーザーを特定して、そのユーザーに対して設定変更などの注意喚起を行います。

　注意喚起の方法は、基本的にはプロバイダーに委ねられていますが、電子メールなどによる方法が想定されています。

　注意喚起を受けたユーザーは、喚起内容に沿って、利用中のルーターやIoT機器の設定マニュアルなどを参照、パスワードの設定変更や、ファームウェアのアップデート、またすでにマルウエアに感染している可能性を考えて一度電源を切るなどの処置を実施する必要があります。

　突然、プロバイダーからあなたの使っている機器は危険です、と通知が来ることになるので驚かれるかもしれませんが、多くの場合、設定変更やファームウエアアップデートで安全になります。もし、届いた場合は落ち着いて対処するようにしましょう。

　詳細は、ご利用のプロバイダ、もしくはNOTICEサポートセンターにお問い合わせ下さい。