Reading Time: 1 minutes
この記事の所要時間: 約 3分

2020年の東京オリンピックも目前に迫ってきました。サイバー攻撃者の注目が日本に集まることを見越し、セキュリティの底上げに向けた国内の動きも活発になっています。

2019年2月1日、総務省は“IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施”について公表しました。当記事では、その内容について解説します。

※IoT:Internet of Thingsの略称。センサーやウェブカメラのような様々なモノがインターネットに接続され、情報交換を行うことで相互に制御する仕組み。

 

<目次>

NOTICEとは?
どのように調査されるのか?
パスワード管理対策の強化を!

 

NOTICEとは?

総務省から発表された取り組み「NOTICE」とは、National Operation Towards IoT Clean Environmentの略称です。端的に言えば、ネットワークに繋がったIoT機器に対して「弱いパスワード(password、admin1234など)」を用いたログインを試み、見事ログインが成功してしまった場合に該当機器のユーザーを特定して注意喚起を行う、というものです。

この調査業務は、情報通信研究機構(NICT: National Institute of Information and Communications Technology)が行います。

一見すると政府機構が民間のIoT機器に対して不正アクセス行為を行うようにも捉えられそうですが、当実行計画には法的な根拠が存在しています。

それは、2018年5月に改正された国立研究開発法人情報通信研究機構法(NICT法)です。改正法では、NICTの業務として「サイバー攻撃に悪用されるおそれのある機器の調査(5年間の時限措置)」が追加されており、今回の措置はこの内容に基づいているとのことです。

 

どのように調査されるのか?

実際の調査は、2019年2月20日より開始されます。

具体的には、日本国内のIPアドレスにより、外部からアクセスできるIoT機器(ルーター、ウェブカメラ、センサー等)に対し、プログラムを用いたID/パスワードの自動入力を実行するとのこと。

入力されるID/パスワードは、NICTの実行計画に記載されており、約100通り存在するそうです。例えば、下記のようなものが当てはまるようですので、心当たりのある方は速やかにパスワードを強固なものに変更しましょう。

ID
パスワード
admin
admin
admin1
password
root
user
root
default
supervisor
supervisor
admin
111111
root
123456
root
666666
root
54321
888888
888888

なお、パスワード強度の弱さが露呈したIoT機器の情報(IPアドレス、タイムスタンプ)はNICTからインターネットプロバイダーへ共有され、利用者の特定が行われます。その後、契約しているインターネットプロバイダー経由で注意喚起のメール送付等が実施されるとのことです。

 

パスワード管理対策の強化を!

さて、今回ご紹介したNOTICEという取り組みですが、もちろん実行が開始される前にIoT機器のパスワードをセキュリティ強度の高いものに設定しておくことで、注意喚起のメールが届くという事態も回避できるのでしょう。

もちろん、注意喚起メールが届くことを回避するためではなく、本質的にはサイバー攻撃者の侵入そのものを防止することを目的として、パスワードの管理対策を徹底していく必要があります。

ManageEngineでは、サーバー、ネットワーク機器、データベース、Webアプリなどのパスワードを一元的に管理し、セキュリティ強度の高いポリシーに基づいてパスワード変更を行っていく機能等を実装したツール「Password Manager Pro」を提供しています。

パスワードポリシーとして、例えば下記のような設定が行えます。

・10文字以上のパスワード設定を必須とする

・数字とアルファベットの混在を必須とする

・過去4回分のパスワードのいずれかと同じパスワード利用を許可しない

 

ご関心のある方は、是非下記の情報も併せてご参照ください。

 

【製品概要資料】

選ばれる理由は「低コスト」 – 特権ID管理ソフト「 Password Manager Pro」製品概要資料

【製品の関連機能】

Password Manager Pro:パスワードの一元管理

Password Manage Pro:パスワードポリシーの設定

Password Manager Pro:パスワードの変更

【製品に関するご相談窓口】

特権ID管理 課題相談

【その他の関連記事】

FIDO U2F対応の物理セキュリティキーによる特権ID管理強化のススメ

ManageEngineの特権ID管理ソフト、任意のクラウド/自社アプリのパスワードをリモート変更できる開発用プラグインを追加