「政府によるハッキングだ！」セキュリティ調査に対する不安の声、実際は”誤解”？

　総務省と国立研究開発法人情報通信研究機構（NICT）が20日から開始するインターネットセキュリティ調査「NOTICE」が話題を呼んでいる。

　これは自動プログラムを用いて各家庭や法人が所有するルーターなどのネット接続機器に接続を無差別に試み、侵入可能かどうかを調べ、プロバイダーなどを通じて利用者に注意喚起をするというものだ。また、調査はあくまでも"インターネット機器の玄関"とも言えるルーターなどの脆弱性を確認するだけでパソコンやスマホ、IoT家電は対象外になっており、機器と第三者との間の通信内容などを知得・窃用又は漏洩するものではなく、通信の秘密の侵害にも該当しないという。

拡大する

　今回の調査について、総務省を取材しているテレビ朝日政治部の小野孝記者は「目的としてはサイバー攻撃に悪用される可能性のあるIoT機器を調査し、容易に推測できるID、パスワードだった場合にプロバイダー経由でユーザーに注意喚起するもの。直接スマホなどの中に入ってくるという誤解があるが、ルーターやウェブカメラ、センサーなど、"途中"までの調査だ」と説明する。

　しかし、Twitter上には「大手を振って国が全市民対象にハッキングとはね」「家の扉をいきなりガチャガチャして、『鍵、ちゃんと締めなきゃダメですよ』と名刺を置いて帰るような行為。普通に怖いだろw」といった意見も見られ、「ハッカーがやっていることと同じことではないか」「国による監視社会の始まりなのでは」などと懸念する声もあるようだ。

拡大する

　13日放送のAbemaTV『AbemaPrime』に出演したジャーナリストの堀潤氏が調査の必要性を認めながらも実施の主体が政府であることに対する疑問を呈すると、スマートニュース社の松浦シゲキ氏は「国が監視をすること自体はいいと思う。でも、侵入されやすい目抜き通りに家を建てるならセキュリティを厳しくするはずだ。だから本来それぞれがリテラシーを高めるべきだ。また、ネットの場合はこの目抜き通りを管理しているのはプロバイダだ。Winny問題が起きた時はプロバイダが対応した。啓蒙も含めて民間でやるべきだ」とコメント、一方、パックンは「民間の場合は情報を売られるケースもある。基本的には政府の方が信頼できる」と話す。

拡大する

　セキュリティに詳しいソフトバンク・テクノロジーの辻伸弘氏は「僕はNICTの協力研究員という立場でもあるが、このプロジェクトの関係者やパスワードを試すといったことには一切関わってないし、お給料が出るような立場でもない」とした上で、今回の調査について次のように説明する。

　「家に例えれば、鍵が"カチャ"っとなるかどうかを確かめるくらいだ。文字上でチェックをし、開いた・開かない、パスワードが合った・合わない、しか見ていないので、例えばウェブカメラの場合、映像まで見られることはないと考えていい。AとBが通信している間の中身を電気通信事業者、プロバイダーやインターネット接続会社が見ることは通信の秘密に触れるが、法律的にそれにも当たらない。もちろん技術的にはメールなどの中身を見ることも可能だが、調査を行う部屋自体、個人情報を守るために国が定めた政府統一基準の中でも高めのもの設定されている。また、監視カメラもあり、入退室時には指紋認証もしていて、ログも全部取ってある。もし悪いことをすれば監査を受けることになるので、安全性も担保はされていると思う。僕も最初はすごく不安だったが、調べてみて、この方法しかないのかなという気持ちにはなっている。とはいえ、こうした説明がちゃんとされてはいないので、皆さんが不安に思うのはごもっともだと思う」。

拡大する

　その上で辻氏は「賛成か反対かどっちか言えと言われたら、やらないに越したことはない。こういったことをしなくても安全な状況なのが一番いい」と指摘する。実際、辻氏が自宅に設置したサーバーで不正アクセスについて日々計測してみると、直近の１日だけで95645件もの攻撃があったのだという。「12日の夜中１時くらいから過去24時間を遡って僕の家に来た、ID、パスワードを使って侵入してやろうという試みの件数だ。これでも一部だ」。

拡大する

　こうした状況になっている背景には、パスワードの設定や変更に対する意識の低さがあると辻氏は指摘する、

　「弱いIoTやコンピューターを狙った攻撃だけではなく、乗っ取った後、悪用されて、他の攻撃の踏み台にされる可能性がある。皆さんのIoT機器やコンピューターの多くが初期設定のまま、もしくは推測できるような簡単なパスワードに設定されているので、それだけを狙ってもある程度の台数が稼げてしまうような状態になっているし、そもそもパスワードを変えるかどうか以前に、パスワードの設定が必要だということを分かって使っていないと思う。そういうコンピューターが攻撃を受けて踏み台にされ、他のコンピューターに対し一斉に攻撃を仕掛るような命令を受け付ける"ゾンビ状態"になってしまう。そうやってたくさんのコンピューターが１か所に対して攻撃するのがDDos攻撃だ。店の入口にたくさんの客が押しかけると入れなくなるように、サイトにアクセスすることができなくなってしまう」。

　2016年には"Mirai"とよばれるウイルスに感染したIoT機器約10万台が何者かに操られ、アメリカの通信会社に大規模なサイバー攻撃を仕掛けた。このウイルスのソースコードが流出したことで、現在も様々な亜種が出現し、その脅威は続いているのだという。佐藤ゆかり総務副大臣も13日、「来年2020年にはオリンピック・パラリンピック東京大会、そして2025年には大阪万博が開催されるなど向こう数年間、国を挙げて世界規模のイベントが続く。こうした中でIoTの対策の必要性が高まってきている」と、今回の調査の意義を強調している。

　辻氏は「ID、パスワードの設定以外にも、ソフトウェアの脆弱性を突かれることのないよう、自分の使っているWindowsなどのOSは最新バージョン使うこと。そして、政府も一般ユーザーも味方同士なはずで、人様の機械を勝手に使う敵は外にいる。それなのに内側でドンパチするのはどうかと思う。もちろん、うちに来た調査のアクセスは全部見てやろうと思っているが（笑）」と訴えた。（AbemaTV／『AbemaPrime』より）