Reading Time: 1 minutes
2020年の東京オリンピックも目前に迫ってきました。サイバー攻撃者の注目が日本に集まることを見越し、セキュリティの底上げに向けた国内の動きも活発になっています。
2019年2月1日、総務省は“IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施”について公表しました。当記事では、その内容について解説します。
※IoT:Internet of Thingsの略称。センサーやウェブカメラのような様々なモノがインターネットに接続され、情報交換を行うことで相互に制御する仕組み。
| <目次> |
NOTICEとは?
総務省から発表された取り組み「NOTICE」とは、National Operation Towards IoT Clean Environmentの略称です。端的に言えば、ネットワークに繋がったIoT機器に対して「弱いパスワード(password、admin1234など)」を用いたログインを試み、見事ログインが成功してしまった場合に該当機器のユーザーを特定して注意喚起を行う、というものです。
この調査業務は、情報通信研究機構(NICT: National Institute of Information and Communications Technology)が行います。
一見すると政府機構が民間のIoT機器に対して不正アクセス行為を行うようにも捉えられそうですが、当実行計画には法的な根拠が存在しています。
それは、2018年5月に改正された国立研究開発法人情報通信研究機構法(NICT法)です。改正法では、NICTの業務として「サイバー攻撃に悪用されるおそれのある機器の調査(5年間の時限措置)」が追加されており、今回の措置はこの内容に基づいているとのことです。
どのように調査されるのか?
実際の調査は、2019年2月20日より開始されます。
具体的には、日本国内のIPアドレスにより、外部からアクセスできるIoT機器(ルーター、ウェブカメラ、センサー等)に対し、プログラムを用いたID/パスワードの自動入力を実行するとのこと。
入力されるID/パスワードは、NICTの実行計画に記載されており、約100通り存在するそうです。例えば、下記のようなものが当てはまるようですので、心当たりのある方は速やかにパスワードを強固なものに変更しましょう。
ID |
パスワード |
admin |
admin |
admin1 |
password |
root |
user |
root |
default |
supervisor |
supervisor |
admin |
111111 |
root |
123456 |
root |
666666 |
root |
54321 |
888888 |
888888 |
なお、パスワード強度の弱さが露呈したIoT機器の情報(IPアドレス、タイムスタンプ)はNICTからインターネットプロバイダーへ共有され、利用者の特定が行われます。その後、契約しているインターネットプロバイダー経由で注意喚起のメール送付等が実施されるとのことです。
パスワード管理対策の強化を!
さて、今回ご紹介したNOTICEという取り組みですが、もちろん実行が開始される前にIoT機器のパスワードをセキュリティ強度の高いものに設定しておくことで、注意喚起のメールが届くという事態も回避できるのでしょう。
もちろん、注意喚起メールが届くことを回避するためではなく、本質的にはサイバー攻撃者の侵入そのものを防止することを目的として、パスワードの管理対策を徹底していく必要があります。
ManageEngineでは、サーバー、ネットワーク機器、データベース、Webアプリなどのパスワードを一元的に管理し、セキュリティ強度の高いポリシーに基づいてパスワード変更を行っていく機能等を実装したツール「Password Manager Pro」を提供しています。
パスワードポリシーとして、例えば下記のような設定が行えます。
・10文字以上のパスワード設定を必須とする
・数字とアルファベットの混在を必須とする
・過去4回分のパスワードのいずれかと同じパスワード利用を許可しない
ご関心のある方は、是非下記の情報も併せてご参照ください。
【製品概要資料】
■選ばれる理由は「低コスト」 – 特権ID管理ソフト「 Password Manager Pro」製品概要資料
【製品の関連機能】
■Password Manager Pro:パスワードの一元管理
■Password Manage Pro:パスワードポリシーの設定
■Password Manager Pro:パスワードの変更
【製品に関するご相談窓口】
【その他の関連記事】
■FIDO U2F対応の物理セキュリティキーによる特権ID管理強化のススメ
■ManageEngineの特権ID管理ソフト、任意のクラウド/自社アプリのパスワードをリモート変更できる開発用プラグインを追加
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。