こんにちは、やまとーるです。
国が無差別侵入を宣言するとかすげえニュースが飛び込んできました。
総務省(NICT)がIoT機器に無差別侵入する方法
簡単にまとめると
インターネットに繋がってる機械を総当たりして簡単にログイン出来るモノには注意する
ということです。
以下解説となります。
国内(に割り振られている)の全IPアドレスにポートスキャンをかけて、
セッションが通ったもの(パスワード要求含む)に対して、
約100通りのIDとPWを全て入力し、
①それでも繋がらなかった→何もしない
②おいおい繋がっちゃった→電気通信事業者経由で利用者に注意喚起
という流れだそうです。
セキュリテイの甘かったところにだけ注意喚起をするので、
「誰でも無差別に侵入する」という言い方は適切では無いかもしれません。
まぁ繋がった時点で「侵入」はしているわけだけどw
では総務省無差別侵入の何が問題なのか
個人的な見解を述べたいと思います。
不正アクセス禁止法で禁止されている行為だから
何人も、不正アクセス行為をしてはならない(3条)。これに違反した者は、3年以下の懲役又は100万円以下の罰金に処せられる(11条)。不正アクセス行為とは以下の行為である(2条4項)。
電気通信回線(インターネット・LAN等)を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人の識別符号(パスワード・生体認証など)を入力し、アクセス制御機能(認証機能)を作動させて、本来制限されている機能を利用可能な状態にする行為 (1号)
引用:wikipedia 不正アクセス行為の禁止等に関する法律
今回は期間限定の無差別調査ということで不正アクセス禁止法には抵触しないみたいです。
それにひっそりと法改正も行っていたとか。
ルールを作っている側には逆らえないということですね。
そもそも国(役人)を信用出来ないから
・雇用統計などの偽装問題
・USB”すら”知らない大臣
・未だに常時SSL化してない総務省サイト
今回とは直接関係が無いとしても、
「足元すら固まってないのに大丈夫なのか」という不安があります。かなり。
それに今回もどうせ”委託”するんでしょ?
(資料には認定送信型対電気通信設備サイバー攻撃対処協会に委託とある)
管理・監督体制は十分なんですかね。
最近でも委託先がやらかして大問題になったところ知ってますけど。
エスカレートしていきそうだから
今回は簡単に繋がってしまうかどうかを確かめるだけ。
でも次回があるかもしれません。
・危険なウィルスを持っていないか
・テロの計画をしてないか
そんなところまで見られる可能性もあります。
もちろん犯罪行為は罰せられるべきですが、
関係無い個人のPCまで全てチェックされるんじゃキモチワルすぎる。
今回の施行で終わりなんて保証ないですもんね。
偽物・なりすまし対策が十分ではないから
自分の母親も被害に合いましたが、
有名企業や市の職員などを名乗って詐欺を働く行為が蔓延しています。
今回の施行についても、
一番最初に十分な偽物・なりすまし対策を施してから行って欲しい。
「お宅に業者を派遣するから◯◯円必要だ」
「パスワードをリセットするから現IDとPWを教えて」
こんな悪人は必ず出てくるって…簡単に予想出来るじゃん…
無差別侵入への対策
安直なIDとPWの組み合わせを使わない(変更する)ことが一番ですね。
例:0000→kP0fgl25sybqlなど
そして、無差別侵入についてはともかく、
今回を機会に自分の周りのセキュリティについて考える事はいい事だと思います。
インターネットはとても便利だけど悪用も出来ちゃうんです。
悪者に乗っ取られて不正行為に加担する前に対策しましょう。
特に購入時のデフォルト設定のまま使用している機器があったら要注意です。
セキュリティを学べる本
この1冊をオススメしておきます。
図解で分かりやすくまとまっていて初心者にも読みやすいです。
まとめ
- ID・PWをより強固なものに
- 身の回りのIoT機器の把握
- 偽物・なりすましに注意(家族に対しても)
今回のニュースに関して個人的に一番気に入らないのは「東京五輪」を免罪符にしてる感があること。
100年に1度の大チャンスとかいう文言も大嫌いで、国民にとってはどんな日でも大事な1日なんだよって思う。
オリンピックだから許されることなんて無いし、
それを理由にしか動けない仕組みもおかしいですよね。