脆弱な IoT 機器調査「NOTICE」の実施状況と技術基準適合認定など一部改正

総務省が公表した「2019 年度第二四半期」 脆弱な IoT 機器及びマルウェアに感染している IoT 機器の利用者への注意喚起の実施状況のポイントを解説します。

近年、IoT 機器を悪用したサイバー攻撃の増加により、総務省、国立研究開発法人情報通信研究機構（NICT）、一般社団法人 ICT-ISAC は、NOTICE（National Operation Towards IoT Clean Environment）ならびに NICT の NICTER^※ プロジェクトにより、マルウェアに感染していることが検知された機器の利用者への注意喚起を行う取り組みを実施しています。

2019 年 10 月末に、2019 年度第二四半期の取り組みについて結果を公表しました。
約 1 億 IP アドレスのうち約 10 万件で ID・パスワードが入力可能であったと報告されています。

ID・パスワードが入力可能なうちログインができ、注意喚起の対象となったものは延べ 505 件（第 1 四半期：延べ 147 件）となっています。
また、マルウェアに感染している IoT 機器の利用者への注意喚起として、ISP に対する通知の対象となったものは、1 日当たり 80～559 件（第 1 四半期：1 日当たり 112 件～155 件）となっています。

出典： 総務省 「脆弱な IoT 機器及びマルウェアに感染している IoT 機器の利用者への注意喚起の実施状況（2019 年度第 2 四半期）」

現時点で推測されやすい ID・パスワードを設定している、または既にマルウェアに感染している IoT 機器の数は少ない状況ではありますが、今後も IoT 機器へのマルウェアの感染活動は継続することが見込まれます。適切な ID・パスワードの設定、ファームウェアの最新版へのアップデート等のセキュリティ対策が引き続き重要ではないかと考えます。

総務省では、「電気通信事業法に基づく端末機器の基準認証に関するガイドライン（第 1 版）」（案）を公開しており、IoT 機器の技術基準にセキュリティ対策を追加するため、端末設備等規則の一部改正（2020 年 4 月 1 日施行）が行われます。
ルータ、ウェブカメラ等の IP を使用する機器において、機器の設定変更を行うためのアクセス制御機能の実装、アクセス制御機能の初期値の変更を促す機能の実装が定められており、ファームウェアの更新が安全かつ自動で行われることが推奨されています。

出典： 総務省 「電気通信事業法に基づく端末機器の基準認証に関するガイドライン ( 第 1 版 )」（案）

また、2020 年 4 月に施行される本基準によって、対象となる機器製造者ならびに提供者は、この基準の認定を受けなければなりません。

このように、IoT 機器のメーカーやサービス提供業者は、脆弱性によるセキュリティリスクや IoT 関連の法改正などに素早く対応する必要があり、IoT 機器を出荷した後も長期のサポートが求められます。

本課題を解決するため、サイバートラストの EM+PLS は、長期間使用できる IoT・組込み機器専用の Linux と、IoT 機器のライフサイクルを通した安全性・本物性を担保するプラットフォーム、IoT 機器の脆弱性を検査するツールを提供することにより、継続的な開発が可能な IoT 開発環境を実現し、IoT 製品の長期利用を支援します。

※ NICTER プロジェクトとは：インターネット上で起こる大規模攻撃への迅速な対応を目指したサイバー攻撃観測・分析・対策システムを用いて、ダークネットや各種ハニーポットによるサイバー攻撃の大規模観測及びその原因（マルウェア）等の分析を実施している NICTの取り組み。