実は、一部のIoT機器は、ユーザー向けのログイン画面とは別に、メンテナンスや開発用に用意された“隠れた入口(バックドアと呼ばれる場合もある)”を用意している場合があります。また、マニュアルに記載されていない固有の(変更不可能な)IDとパスワードを入力すると、管理者と同等の権限を持った操作が可能な端末もあります。
恐らく、ベンダー側は「マニュアルにも記載していない上、秘密にしているので安全なはず」と考えてそのような仕組みを用意したのではないかと思われます。しかし、たいていこのような仕組みは攻撃者にバレて、利用されてしまうのです。こうした仕組みを持つ製品に関しては、もしも裏口をふさぐ内容のアップデートがあればその適用を、もしそんなアップデートがなかったとしたら、もはや買い換え以外の選択肢はありません。
ただ、難しいのは「モノを大事にする」ことを常に教えられてきた私たちは、壊れていないものをわざわざ買い換えるのに抵抗があること。それに、強く言われなければ、IoT機器のパスワードなんて変えない人がほとんどでしょう。そのため、本来これらの問題について対策すべきなのは、IoT機器をリリースしているベンダー側です。初期パスワードは製品一つ一つについて異なるものが設定されていてしかるべきですし、アップデートも極力“自動適用”であるべきです。“隠れた入口”なんてもっての外ですね。
いまそこにある「日本のインターネットとIoT」の現状
昨今では、IoT機器ベンダー側にもセキュリティ意識が浸透しつつあり、状況が改善され始めているのは間違いありません。しかし、問題は既に家庭内にあるIoT機器です。
既に家庭の中に定着してしまっているような機器について、今さら「パスワードを変えましょう」と言っても、なかなか実施してくれる人はいません。しかし、それらは既にサイバー犯罪者から常に攻撃を受けていると考えるべきです。しかも、これらのデバイスはそもそも家庭内のネットワーク上で可視化されていないので、脆弱性の有無の確認やアップデートさえ、なかなか難しいといわざるを得ません。
ではどうしたらいいでしょうか。一番簡単なのは、そういった脆弱なデバイスがあることを誰かがユーザーに教え、個別に対応してもらうこと。でも、そのためにはポートスキャンを行い、外部の人間にとって推測しやすい“弱いパスワード”や、初期パスワードでログイン試行まで行わないといけません。
脆弱なIoT機器が大量に存在し、既にそれらが攻撃を受け、DDoS攻撃などに悪用されている――これが、いまそこにある「日本のインターネットとIoT」の現状です。これを何とか改善し、「必要なところには、ある程度強制的にでも対策をしなければならない」という段階にまで達してしまっています。
ここまで読んだあなたは、もしかしたらもうピンときているかもしれません。そう、その“対策”こそ、報道で「政府による“無差別侵入”」とまで書かれてしまった、情報通信研究機構(NICT)による一大プロジェクト「NOTICE」の正体なのです。
Copyright © ITmedia, Inc. All Rights Reserved.
次回の掲載をメールで受け取る
<div style="clear:both;margin:15px 0 0 0;padding:10px;"><!--●概要文--><div style="background:#eee;padding:5px 10px;font-size:small;margin:5px 0px 0px 0px;">※こちらのページには2015年4月以降の記事を掲載しております。<br>2014年11月〜2015年3月の記事をご覧になりたい方は「 <a href="/bizid/series/1129/" style="color:#369;">2014年11月〜2015年3月の記事一覧</a> 」を、2014年10月以前の記事をご覧になりたい方は「 <a href="/makoto/series/1129/" style="color:#369;">2014年10月以前の記事一覧</a> 」をご覧ください。</div></div>
政府主導の“対民間”サイバー攻撃? 物議を生む「NOTICE」を実行せざるを得ない、国内の深刻な事情
