野良IoT駆逐に法の壁 改正も検討

 政府がIoT機器の総合的なセキュリティー対策に乗り出そうとしている。9月からはサイバー攻撃に弱い機器の洗い出しや利用者への注意喚起などに着手する。だが、これらの対策を十分に機能させるには、「法の壁」が立ちはだかる。政府は2020年の東京五輪開催を前に、「壁」となっている不正アクセス禁止法や電気通信事業法の課題を整理し、見直しを進めたい考えだ。


政府のIoT実態調査  国内の全IPアドレスを ポートスキャン(※) と呼ばれる手法で探査し、重要インフラで使われているIoT機器と、ネットワークカメラやルーターなどの生活に身近なIoT機器について、サイバー攻撃を受けやすい脆弱な機器を探し出す。通信事業者の協力を得て利用者を特定し、注意喚起を行ったり、データベース化して機器の製造業者を含めた関係者で情報共有し対策に役立てたいとしている。

野良IoTを駆逐せよ

 「野良IoTを一掃したい」。9月からIoT機器の大規模な実態調査に着手する総務省幹部はこう語る。野良IoTとは、セキュリティーが甘く、外部から操られても利用者が気づないなど「放置」された状態のIoT機器を指す。

 IoT機器は、IDやパスワードが初期設定のまま使われていたり、脆弱性が見つかってもファームウェアのアップデートがされなかったりするものも多く、パソコンより侵入が容易とされる。つまり、攻撃者はたやすくサイバー攻撃の「道具」を手に入れることになる。

 昨秋、50万台以上のIoT機器がマルウェア「Mirai」に感染し、大規模なサイバー攻撃の踏み台にされたが、この時、踏み台にされたのも野良IoTだ。

 攻撃者は、まずポートスキャンでIoT機器に特有のポートが開いている機器を探し出す。ポートとは通信を受け入れる「窓」のようなもので、用途別に65536個あるが、必要ないのに開けたままにしておくと攻撃者の侵入を許しやすい。

 攻撃者は「窓」が開いた機器を見つけると、次に金庫の「鍵」を調べる。つまり、単純なIDやパスワードの候補を入力してみて、鍵が開くか試すのである。この時は、各IoT機器の出荷時に設定されたIDやパスワードを約60種類を次々と試した。この手法で侵入に成功したのが50万台以上。つまり、そんなセキュリティの甘い機器がそれほど大量に放置されていたということになる。

法の壁

 逆にいえば「防御する側も、事前にポートスキャンとパスワード入力の試行によって野良IoTを探しだし、利用者に修正を促せば、攻撃は未然に防ぐことができるはず」(同幹部)である。今回始める政府の調査の狙いはそこにある。だが、関係者の1人は「今のままでは、対象の1割も手をつけられないだろう」とみる。壁になっているのが法律だ。

 まず、不正アクセス禁止法。同法は「何人も」不正アクセス行為をしてはならないと規定しており、たとえ調査目的であっても、他人のIDやパスワードを無断で入力してコンピューターに侵入する行為を処罰の対象としている。しかも、メーカーによって公表されているような初期設定のパスワードを入力しても違法になるのかどうかなど、具体的な基準も明示していない。

 今回の調査でどこまで試みるかは明確にされていないが、仮に、公表されている初期設定だけ入力したとしても、Miraiで攻撃者が試した60種類には及ばず、危険な状態の機器の中のごく一部しか見つけることはできないだろう。

 サイバー犯罪に詳しい弁護士の北條孝佳氏は「今のままでは攻撃者にやられるばかりで、防御側が正確な状況把握をできない。不正アクセス禁止法を改正し、一部の研究機関などに限定して適用除外の規定を設けるべきだ」と主張する。

通信の秘密は?

 危険な状態の機器を見つけたとしても、利用者にそれを通知しようとするとまた壁がある。電気通信事業法である。同法では電気通信事業者に「通信の秘密」の侵害を禁じているが、これは通信の中身だけでなくIPアドレスから利用者を調べるだけでも侵害とみなす厳しい規定だ。総務省ではここ数年、サイバー攻撃に対処するため、有識者会議を開催し、個別の事案ごとに見解の整理を進めてきた。これまで、ウイルス感染していたり、攻撃に加担したりしている端末については、利用者の特定や通信遮断などを正当業務や緊急避難を理由に認めるとの整理をしている。

 だが、今回のように、セキュリティー上危険な状態ではあるが、感染したかどうかははっきりしないケースについては、まだ整理されていない。このため、今回は特に危険な一部の機種を使っているケースしか利用者通知は行わない予定だ。

 関係者の1人は「通信の秘密の見直しは、国民の重要な権利が侵害される危険と背中合わせで、慎重な検討が必要」としながらも、「問題が起きるたびに有識者会議で検討しているのでは時間もかかり、対応は後手に回ってしまう。次々と新しいサイバー攻撃が登場する中、根本的な見直しが必要ではないか」と話す。

 日本と同様、通信の秘密の厳格な規定をもつドイツでも、既に通信法を改正し、ウイルス感染により攻撃の踏み台になっている端末を確認した通信事業者に対し、利用者への通知を義務づけている。

山積する法的課題

 IoT機器の製造業者や販売業者の果たす役割についても、整理が必要だろう。今後、開発の段階からセキュリティーに配慮した製品作りが求められるだけでなく、市場に出回ってしまった製品への対応も重要になるが、現在、製造業者や販売業者にそれを求める法的根拠はない。

 米国では連邦取引委員会(FTC)が今年1月、ルーターやウェブカメラの脆弱性に適切に対応しなかったとして製造業者の「D‐Link」を提訴するなど、IoT機器の脆弱性について製造者の責任を問う動きが出始めている。

 政府は今回の実態調査を機に、法的課題を洗い出し、必要な法改正の検討に入る考えだ。だが、サイバー空間の変化に法制度が追いついていない分野はこれだけではない。例えば、海外で構築されているウイルスのデータベース。日本では重要性が認識されながらなかなか作ることができない。刑法のマルウェア保管罪への抵触が不安視されるからだ。研究などの正当な理由があれば違法にはならないが、客観的にどのような状況にあれば研究と認められるのかはあいまいだ。

 北條氏は、「現行法で何が可能で、何をしてはいけないか、政府がガイドラインで示すなどしてグレーゾーンを解消する必要がある」としている。

※ポートスキャン  情報機器のポートに信号を送り、通信に利用可能なポートを探すこと。IPアドレスがその通信端末の「住所」に例えられるのに対し、ポートは「窓」で、ポートスキャンはその窓を一つ一つノックして開いているかどうか調べる行為にあたる。日本では、不正アクセスの準備行為とみなされトラブルになることも少なくない。

(編集委員 若江雅子)