IoT機器を侵入調査、ついに始まったNOTICEの実態
総務省と情報通信研究機構(NICT)は2019年2月20日、「NOTICE(National Operation Towards IoT Clean Environment)」と呼ぶプロジェクトを開始した。日本国内にあるIoT機器に外部からアクセスし、容易にログインできる機器を見つけると、プロバイダー(電気通信事業者)経由で該当機器を使っているユーザーに通知するというものだ。
タレントのカンニング竹山氏を使ったポスターを見かけた人もいるだろう。当初の報道で「国が不正アクセス」などと扇情的に伝えられたこともあり、どういったものなのか気になっている人も多いはずだ。その実態を解説する。
◆初期設定のままの機器を探す
NICTによるNOTICEの調査は、複数の段階に分けて実施される。最初に、日本中で使われている約2億件のグローバルIPv4アドレスを対象にポートスキャンを実施し、外部からアクセス可能なポートがないかをチェックする。
といっても、6万5536個のポート番号全てに当たるのではなく、これまでにウイルス感染に使われたことのあるポートに絞って調査する。
外部からアクセス可能なポートが見つかったIPアドレスについては、リモートアクセスのプロトコルであるTELNETでアクセスし、バナー情報が表示されるかを確認する。バナー情報が表示されたら、その内容からアクセスしている機器の種類やベンダーを特定する。
↓
特定できたら、その機器の初期設定のIDとパスワードを使ってログインを試行。さらに、よく使われるIDとパスワードの組み合わせ約100種類を使ってログインを試みる。
その結果、ログインできない場合は調査を終了する。
ログインに成功した場合でもすぐにログアウトしてそれ以上は調査しない。
ログインに成功した場合でもすぐにログアウトしてそれ以上は調査しない。
↓
ログインできた機器については、そのIPアドレスを管理しているプロバイダーに、ログインに成功した日時や該当機器のIPアドレスおよび機器情報などを伝える。
↓
連絡を受けたプロバイダーは、NICTから受け取った情報から該当機器のユーザーを特定し、メールなどで通知して注意喚起する。
↓
その通知には、該当機器が不正アクセスを受ける可能性があることや、パスワード設定の変更やファームウエアの更新などのセキュリティー対策を実施してほしいといったことが書かれている。総務省が設置するユーザーサポートセンターへの案内も含まれている。
なお、NOTICEの調査で使うIPアドレスは、NICTがWebサイトで公開している。これらのIPアドレスからのポートスキャンならば、気にする必要はない。
NICT公式サイト:https://www.nict.go.jp/
NOTICE公式サイト:https://notice.go.jp/