2019年2月、米TV局CNNがこんなニュースを報じた。
日本政府は、インターネットに繋(つな)がった機器によるリスクを警告する目的で、自国の国民をサイバー攻撃でハッキングするという過激な措置を始める」
このニュースを初めて聞いた、という人も少なくないのではないだろうか。総務省は今年2月から、サイバー攻撃に悪用されるおそれのあるIoT(Internet of Things・モノのインターネット)機器の調査と、機器利用者への注意喚起を行う取り組みである「NOTICE」を実施している。
IoT機器とは、インターネットに繋がるルーター、ウェブカメラなどのことで、スマホなどから遠隔操作が可能なものも多い。この試みでは、日本中にあるIoT機器に、「123456」など容易に推測されるパスワードを入力するなどしてセキュリティーの弱い機器をあぶり出し、注意喚起するのを目的としている。政府自ら国民の使うIoT機器をサイバー「攻撃」してセキュリティー意識の実態を探ろうという野心的な取り組みである。
総務省の関係者は言う。「ハッキング行為は違法だが、この取り組みでは、法改正による5年間の特別な時限措置が取られ、総務省はIoT機器にハッキングすることが許可されている。自動プログラムで攻撃を行うので、政府関係者が乗っ取って覗(のぞ)き見るなど悪用する心配はないが、かなり思い切った手法であることは確かだ」。
同省は6月下旬、調査の途中経過を公表した。約9000万のIPアドレス(インターネットに接続する機器に割り振られる識別番号)を調査したところ、ID・パスワード入力段階までアクセスできてしまうものが約4万件あり、このうち容易にログインでき、メーカーと機器が判明したものが147件あった。また、マルウェア(悪意ある不正なプログラム)への感染が検知された機器類は1日約150件にのぼった。
なぜ法整備までして、このような対策を行う必要があるのか。それは近い将来、日本をはじめ世界中でIoT機器が激増することになるが、同時に国民生活が危険にさらされる可能性も高くなるからだ。
今、世界では、300億個のIoT機器が設置されているとされる。米調査会社のIHSテクノロジーによれば、20年には世界のIoT機器の数が403億個を超えるという。
IoTの利便性が高いのは間違いない。だがこうした機器では、きちんとしたセキュリティー対策が行われないことが多い。日本だけを見ても、17年の時点で、マルウェアに感染しているIoT機器は4万台を超えるという。情報通信研究機構(NICT)の関係者は「18年にわれわれの観測網で観測された攻撃の傾向を見ると、攻撃先のトップ10のうち8つがIoT機器を狙ったものだと考えられる。PCやスマホなどへの攻撃よりもIoT機器への攻撃が増えている。その数は攻撃全体の5割近くになる」と言う。
