総務省がIoT機器に関する脆弱性調査等を実施するとのこと(総務省の発表、朝日新聞)。朝日新聞の記事によると、総務省は一般社団法人ICT-ISACや横浜国立大学と連携し、「国内で動作している全てのIoT機器に接続を試みる」という。問題が発見された場合は、所有者等に対し注意喚起を行うという。
総務省の発表には一言も「全て」なんて書かれていない件 (スコア:4, 興味深い)
朝日はどこから「すべて」なんて持ってきたんだ?
Re:総務省の発表には一言も「全て」なんて書かれていない件 (スコア:4, 興味深い)
あらゆるものがインターネット等のネットワークに接続されるIoT/AI時代が到来
>ああ、「あらゆるものか」、じゃあ「すべて」という事ね
こういった感じでは。
Re:総務省の発表には一言も「全て」なんて書かれていない件 (スコア:1)
好意的に解釈:総務庁側に追加取材をしてすべてやるという言質を得た
悪意的に解釈:資料をみて全部やると判断した
超悪意的に解釈:全部やらないといけないというキャンペーンを朝日が行った
Re: (スコア:0)
朝日お得意のアレでしょう。
Re: (スコア:0)
全てと言うなら、じゃあまずは「IoT機器とは?」の定義から始めますか。
Re:総務省の発表には一言も「全て」なんて書かれていない件 (スコア:2, すばらしい洞察)
> 「IoT機器とは?」の定義
総務省が脆弱性調査等を実施した機器のことです。
Re: (スコア:0)
> 「IoT機器とは?」の定義
総務省が脆弱性調査等を実施した機器のことです。
つまり
総務省が脆弱性
という理解でよろしいか
偽計業務妨害 (スコア:2)
全台? それと持ち主には知らせてからなのかな? (スコア:1)
どっちもかなり無理っぽい
L2TP (スコア:1)
Re:L2TP (スコア:1)
所有者が認識しているとは限らない様な (スコア:1)
TVですらネット接続していると認識していない人々も多いのに。
調査方法 (スコア:1)
B. ネットワーク経由で脆弱性を調査
C. shodan で脆弱性のありそうな機器を検索
法律的には問題ないのかな (スコア:0)
法律面は詳しくないのですが、不正アクセス防止法などの法律的には問題ないんでしょうか。
Re:法律的には問題ないのかな (スコア:1)
初期設定のまま運用されている端末において、デフォルト・ユーザー,デフォルト・パスワードを『識別符号』とは言えない
Re:法律的には問題ないのかな (スコア:1)
某図書館「了解を求めることなく、繰り返しアクセスしたことが問題だ」
Re: (スコア:0)
初期設定のまま運用されている端末において、デフォルト・ユーザー,デフォルト・パスワードを『識別符号』とは言えない
どうやって初期設定であることを事前に知るの?
ちゃんと設定しているところにアタックしたらあかんのでは?
告知したからやっていいなら
犯行予告してからやると
不正アクセス防止法に抵触しないってことになるん?
まぁお上特権ってことで知ったこっちゃねぇなんだろうけれど
その名目でやりたい放題ってのは法規制が必要だよね
んでもってどっからが国家の不正アクセスかという規定がないんよ
なので「法律的には問題ないのかな」は正しい投げかけだと思われ
/*
脆弱なお上が使うアクセス元を
ブラックリストに入れてドロップできるんで
個人的には問題ないんだがね
*/
Re:法律的には問題ないのかな (スコア:1)
不正アクセス禁止法における「不正アクセス行為」ってのは(第二条第四項)
・他人のID/パスワードを入力(不正ログイン)(第一号)
・対象の計算機や認証サーバーのセキュリティホール(プログラムの脆弱性)を衝く攻撃(第二号・第三号)
>ちゃんと設定しているところにアタックしたらあかんのでは?
適切に設定されているなら、デフォルトID/パスワードを入力したところでログインできる訳ではないから、
「アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」を成したとは言えない。
Re: (スコア:0)
不正アクセス禁止法における「不正アクセス行為」ってのは(第二条第四項)
・他人のID/パスワードを入力(不正ログイン)(第一号)
・対象の計算機や認証サーバーのセキュリティホール(プログラムの脆弱性)を衝く攻撃(第二号・第三号)
>ちゃんと設定しているところにアタックしたらあかんのでは?
適切に設定されているなら、デフォルトID/パスワードを入力したところでログインできる訳ではないから、
「アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」を成したとは言えない。
「・対象の計算機や認証サーバ
Re: (スコア:0)
デフォルト設定試すだけならアタックにならんし。
サービスに負荷かけなきゃ、ポートスキャンだって合法よ?
Re: (スコア:0)
だからこそ法律なり政令なり作ってやるのでは。
技術的に難しくはなくとも、法的にできる所はお役所くらいしかないから意義があるのでしょう。
小っちゃいコンピュータ (スコア:0)
ラズパイとかBBBとか家でネットに繋いで転がってますが、こういうのも対象なのか?
Re: (スコア:0)
グローバルIP持ってたり、ポートフォワードしてたりすると、ユーザー名:pi、パスワード:raspberry でログイン試行されるかもね。
もっとも、パスワード変更せずにそんな状態で置いてあったらとっくに侵入されてると思うけど。
管理はやっぱりエクセルでするのかな (スコア:0)
一機器一行
Re: (スコア:0)
A4に収まるようにって、一行に三機器詰めてあるんだぜ…
そういうことは黙ってやれ (スコア:0)
新手の詐欺がスタンバイ開始!の予感しかしない。
Re: (スコア:0)
「総務省からご家庭のIoT機器の調査に来ました」
Re:そういうことは黙ってやれ (スコア:1)
×総務省から
○総務省の方から
どこをチェックするんだろ? (スコア:0)
まさかこのご時世にIPv4空間だけなんて手抜きはしないよね。
ちゃんとIPv6空間上の機器のチェックもしやがってください。
で、ユニークローカルアドレス(v4のプライベートアドレスでも可)に
置いた機器はどうするんだろ? v6ならともかく、v4だとマジに
プライベートアドレス上で動いてる機器が半端なく多い予感。
Re: (スコア:0)
おまいのルーターは仕事しとらんのか
ルーター下にいるv4のプライベートアドレスの機器へは
ルーターで通さない限り外からはアクセスできないのが
日本の市販ルーターの基本
ルーターからポート通していれば
外から見てそのグローバルアドレスで提供しているサービスと見做せるでしょう
なのでそこに注意喚起すればいい
その中のどのv4のプライベートアドレスの機器かは
世帯や組織で対処せいでいいんだから
# そして偽注意喚起の詐欺被害で死蔵預金を世に回すのです。。。国外へ(号泣
主な対象は重要IoT機器 (スコア:0)
総務省としてはセキュリティ対策の面から2種類に分類している模様
・重要IoT機器(国民生活・社会経済活動に直接影響を及ぼす可能性がある機器。重要インフラで利用される IoT 機器 等)
・サイバー攻撃の踏み台となってネットワークに悪影響を与えるおそれがある機器(家庭用ルータ、監視カメラ 等)
Re: (スコア:0)
某ハッカーが立てた駄々洩れネットワークカメラサイトも対象なのかな?
海外だから無理か。
Re: (スコア:0)
いや,総務省のプレスリリースを日本語として読むと
A「重要IoT機器」⊇B「サイバー攻撃の対象になりやすい脆弱なIoT機器」
と読めるけどね.
そして,Bに関して「所有者等に対し注意喚起を行」うということらしいよ.
どうやって,所有者等を特定するんだろうね?
Re: (スコア:0)
すいません. Aは「重要IoT機器を中心としたインターネットに接続されたIoT機器」でした.
Re: (スコア:0)
「IoTセキュリティ対策に関する取組方針ver1.0」の冒頭に2種類にわけて、注意を喚起すると書いてある。
BだけでなくAも注意を喚起する。
一方通行 (スコア:0)
Re:一方通行 (スコア:1)
純粋にUDPの送信しかできない機器ならリモートでは調べようがないけどセキュリティリスクも無視できるだろうし、TCPを使ってるなら一方通行といっても送信にしか「使ってない」だけで、受信できてしまう可能性はあるかもしれない
うじゃうじゃ
Re: (スコア:0)
問題無しと判断するだけでは?
Re: (スコア:0)
仕様上は、一方通行だけど、受信したらどうなるのっては、書いてないこと多いから
icmpでエラーを返す場合もあるし、無応答もある。
無応答にも、データを取り込まないのと取り込んで処理なしの場合もある。
取り込んで処理なしの場合は、同じように問題になる。
そういうの調べればいいんじゃないの?
username: pi password: raspberry (スコア:0)
IoTとか言いながら電子工作してる人の中にも結構初期設定で使ってる人がいそう
サポート放棄されたIoT機器については (スコア:0)
踏み台にされる前に公的機関が脆弱性突いてファームウェアをゼロクリアするなどして文鎮化することを合法にすればいいと思う
アダルトグッズの (スコア:0)
膣内カメラでインターネット接続できるやつがあるのだが
後が続かんな
firewall と IPS (スコア:0)
2. 調査元からの過度なアクセスがあるため、侵入防御システムにより自動的にブロックされ、調査が出来なくなる。
3. IPv6 のアドレス空間に対しても、順次調査するが、時間がかかりすぎてタイムアウト
4. NAT下の機器は見えないまま。まあ、これは仕方がない。
それに気づかないまま、「アドレスは空きだらけ。」「あまりIoTの機器もみつからず、脆弱なものもほとんど無かった。」と結論。
となりませんように。
Re: (スコア:0)
適切にセキュリティ対策が取られているIoT機器と言えるのでは?