パスワードを忘れた? アカウント作成
13405304 story
インターネット

総務省、ネット上のIoT機器全調査を行うと発表 45

ストーリー by hylom
どんな結果になるのかは興味があるが 部門より

総務省がIoT機器に関する脆弱性調査等を実施するとのこと(総務省の発表朝日新聞)。

朝日新聞の記事によると、総務省は一般社団法人ICT-ISACや横浜国立大学と連携し、「国内で動作している全てのIoT機器に接続を試みる」という。問題が発見された場合は、所有者等に対し注意喚起を行うという。

  • by Anonymous Coward on 2017年09月11日 15時24分 (#3277248)

    朝日はどこから「すべて」なんて持ってきたんだ?

    ここに返信
  • by Ooty (29466) on 2017年09月11日 15時22分 (#3277243) 日記
    ハニーポットを動かしていても大丈夫でしょうか?
    ここに返信
  • どっちもかなり無理っぽい

    ここに返信
  • by Ooty (29466) on 2017年09月11日 15時20分 (#3277239) 日記
    国内の機器だと思っていたが、実は海外に設置されていたり....
    ここに返信
  • by Anonymous Coward on 2017年09月11日 15時39分 (#3277263)

    TVですらネット接続していると認識していない人々も多いのに。

    ここに返信
  • by Ooty (29466) on 2017年09月11日 17時26分 (#3277340) 日記
    A. 国内の各家庭・企業を訪問し、機器の脆弱性を調査

    B. ネットワーク経由で脆弱性を調査

    C. shodan で脆弱性のありそうな機器を検索
    ここに返信
  • by Anonymous Coward on 2017年09月11日 15時32分 (#3277255)

    法律面は詳しくないのですが、不正アクセス防止法などの法律的には問題ないんでしょうか。

    ここに返信
    • by Anonymous Coward on 2017年09月11日 15時42分 (#3277264)

      初期設定のまま運用されている端末において、デフォルト・ユーザー,デフォルト・パスワードを『識別符号』とは言えない

      • by Anonymous Coward on 2017年09月11日 20時59分 (#3277472)

        某図書館「了解を求めることなく、繰り返しアクセスしたことが問題だ」

      • by Anonymous Coward

        初期設定のまま運用されている端末において、デフォルト・ユーザー,デフォルト・パスワードを『識別符号』とは言えない

        どうやって初期設定であることを事前に知るの?
        ちゃんと設定しているところにアタックしたらあかんのでは?

        告知したからやっていいなら
        犯行予告してからやると
        不正アクセス防止法に抵触しないってことになるん?

        まぁお上特権ってことで知ったこっちゃねぇなんだろうけれど
        その名目でやりたい放題ってのは法規制が必要だよね
        んでもってどっからが国家の不正アクセスかという規定がないんよ

        なので「法律的には問題ないのかな」は正しい投げかけだと思われ

        /*
        脆弱なお上が使うアクセス元を
        ブラックリストに入れてドロップできるんで
        個人的には問題ないんだがね
        */

        • by Anonymous Coward on 2017年09月11日 19時12分 (#3277420)

          不正アクセス禁止法における「不正アクセス行為」ってのは(第二条第四項)

          ・他人のID/パスワードを入力(不正ログイン)(第一号)
          ・対象の計算機や認証サーバーのセキュリティホール(プログラムの脆弱性)を衝く攻撃(第二号・第三号)

          >ちゃんと設定しているところにアタックしたらあかんのでは?
          適切に設定されているなら、デフォルトID/パスワードを入力したところでログインできる訳ではないから、
          「アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」を成したとは言えない。

          • by Anonymous Coward

            不正アクセス禁止法における「不正アクセス行為」ってのは(第二条第四項)

            ・他人のID/パスワードを入力(不正ログイン)(第一号)
            ・対象の計算機や認証サーバーのセキュリティホール(プログラムの脆弱性)を衝く攻撃(第二号・第三号)

            >ちゃんと設定しているところにアタックしたらあかんのでは?
            適切に設定されているなら、デフォルトID/パスワードを入力したところでログインできる訳ではないから、
            「アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」を成したとは言えない。

            「・対象の計算機や認証サーバ

        • by Anonymous Coward

          デフォルト設定試すだけならアタックにならんし。
          サービスに負荷かけなきゃ、ポートスキャンだって合法よ?

    • by Anonymous Coward

      だからこそ法律なり政令なり作ってやるのでは。
      技術的に難しくはなくとも、法的にできる所はお役所くらいしかないから意義があるのでしょう。

  • by Anonymous Coward on 2017年09月11日 15時39分 (#3277262)

    ラズパイとかBBBとか家でネットに繋いで転がってますが、こういうのも対象なのか?

    ここに返信
    • by Anonymous Coward

      グローバルIP持ってたり、ポートフォワードしてたりすると、ユーザー名:pi、パスワード:raspberry でログイン試行されるかもね。
      もっとも、パスワード変更せずにそんな状態で置いてあったらとっくに侵入されてると思うけど。

  • by Anonymous Coward on 2017年09月11日 15時55分 (#3277274)

    一機器一行

    ここに返信
    • by Anonymous Coward

      A4に収まるようにって、一行に三機器詰めてあるんだぜ…

  • by Anonymous Coward on 2017年09月11日 15時57分 (#3277275)

    新手の詐欺がスタンバイ開始!の予感しかしない。

    ここに返信
  • by Anonymous Coward on 2017年09月11日 16時04分 (#3277278)

    まさかこのご時世にIPv4空間だけなんて手抜きはしないよね。
    ちゃんとIPv6空間上の機器のチェックもしやがってください。

    で、ユニークローカルアドレス(v4のプライベートアドレスでも可)に
    置いた機器はどうするんだろ? v6ならともかく、v4だとマジに
    プライベートアドレス上で動いてる機器が半端なく多い予感。

    ここに返信
    • by Anonymous Coward

      おまいのルーターは仕事しとらんのか
      ルーター下にいるv4のプライベートアドレスの機器へは
      ルーターで通さない限り外からはアクセスできないのが
      日本の市販ルーターの基本

      ルーターからポート通していれば
      外から見てそのグローバルアドレスで提供しているサービスと見做せるでしょう
      なのでそこに注意喚起すればいい
      その中のどのv4のプライベートアドレスの機器かは
      世帯や組織で対処せいでいいんだから

      # そして偽注意喚起の詐欺被害で死蔵預金を世に回すのです。。。国外へ(号泣

  • by Anonymous Coward on 2017年09月11日 16時07分 (#3277281)

    総務省としてはセキュリティ対策の面から2種類に分類している模様

    ・重要IoT機器(国民生活・社会経済活動に直接影響を及ぼす可能性がある機器。重要インフラで利用される IoT 機器 等)
    ・サイバー攻撃の踏み台となってネットワークに悪影響を与えるおそれがある機器(家庭用ルータ、監視カメラ 等)

    ここに返信
    • by Anonymous Coward

      某ハッカーが立てた駄々洩れネットワークカメラサイトも対象なのかな?
      海外だから無理か。

    • by Anonymous Coward

      いや,総務省のプレスリリースを日本語として読むと
      A「重要IoT機器」⊇B「サイバー攻撃の対象になりやすい脆弱なIoT機器」
      と読めるけどね.
      そして,Bに関して「所有者等に対し注意喚起を行」うということらしいよ.

      どうやって,所有者等を特定するんだろうね?

      • by Anonymous Coward

        すいません. Aは「重要IoT機器を中心としたインターネットに接続されたIoT機器」でした.

      • by Anonymous Coward
        プレスリリースの日本語が間違っているだけでは。
        「IoTセキュリティ対策に関する取組方針ver1.0」の冒頭に2種類にわけて、注意を喚起すると書いてある。
        BだけでなくAも注意を喚起する。
  • by Anonymous Coward on 2017年09月11日 16時10分 (#3277283)
    上りだけで一方通行な機器も多いんどけど、どうすんだろうね?
    ここに返信
    • 純粋にUDPの送信しかできない機器ならリモートでは調べようがないけどセキュリティリスクも無視できるだろうし、TCPを使ってるなら一方通行といっても送信にしか「使ってない」だけで、受信できてしまう可能性はあるかもしれない

      --
      うじゃうじゃ
    • by Anonymous Coward

      問題無しと判断するだけでは?

    • by Anonymous Coward

      仕様上は、一方通行だけど、受信したらどうなるのっては、書いてないこと多いから
      icmpでエラーを返す場合もあるし、無応答もある。
      無応答にも、データを取り込まないのと取り込んで処理なしの場合もある。
      取り込んで処理なしの場合は、同じように問題になる。

      そういうの調べればいいんじゃないの?

  • by Anonymous Coward on 2017年09月11日 16時37分 (#3277301)

    IoTとか言いながら電子工作してる人の中にも結構初期設定で使ってる人がいそう

    ここに返信
  • by Anonymous Coward on 2017年09月11日 23時56分 (#3277542)

    踏み台にされる前に公的機関が脆弱性突いてファームウェアをゼロクリアするなどして文鎮化することを合法にすればいいと思う

    ここに返信
  • by Anonymous Coward on 2017年09月12日 2時29分 (#3277570)

    膣内カメラでインターネット接続できるやつがあるのだが
    後が続かんな

    ここに返信
  • by Anonymous Coward on 2017年09月12日 2時45分 (#3277573)
    1. 調査元のIPアドレスが次々とネットでさらされ、ネットワーク管理者はみんな、firewall でそこからのアクセスをブロックするため、調査が出来なくなる。

    2. 調査元からの過度なアクセスがあるため、侵入防御システムにより自動的にブロックされ、調査が出来なくなる。

    3. IPv6 のアドレス空間に対しても、順次調査するが、時間がかかりすぎてタイムアウト

    4. NAT下の機器は見えないまま。まあ、これは仕方がない。

    それに気づかないまま、「アドレスは空きだらけ。」「あまりIoTの機器もみつからず、脆弱なものもほとんど無かった。」と結論。
    となりませんように。
    ここに返信
    • by Anonymous Coward

      適切にセキュリティ対策が取られているIoT機器と言えるのでは?

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...