単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き

単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き 56

ストーリー by hylom 2018年01月23日 7時00分
調査目的と言い逃れできないようにしてほしい部門より

IoT機器のセキュリティ対策強化に向けて、政府が「単純なパスワード」が設定された機器に対して無断でアクセスを行うことを認める方針だという（共同通信）。

現行の不正アクセス禁止法では、いかなる場合でも他人のID/パスワードを使って無断で機器にアクセスすることは禁じられていた。これに対し、単純なパスワードの場合は認めるなど制限を緩和し、一定のアクセスを認める方向だという。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索56コメント Log In/Create an Account

大事なとこが抜けてる (スコア:5, 参考になる)

by Anonymous Coward on 2018年01月23日 7時07分 (#3349146)

「NICTの調査に限っては」認めるということ
誰でもアクセスして良いよって訳じゃないから注意
- Re:大事なとこが抜けてる (スコア:1)
  
  by Anonymous Coward on 2018年01月23日 8時30分 (#3349169)
  
  NICTが調査を下請けに出すことを認めるのか、それともNICTが直接調査するケースだけを認めるのか。
  さすがに後者だと思いたい。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    NICTの方から来ました。と言ってセキュリティー商品売りつける、みたいな
    ナンだか電話回線商法みたいな
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    今も下請けに出してるし、変わらないんじゃないかな
- Re: (スコア:0)
  
  by Anonymous Coward
  
  親切で戸締りチェックをしてただけですよ～
- Re: (スコア:0)
  
  by Anonymous Coward
  
  AIST も OK にしよう。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  最初は制限つけておいてすぐにザルに変更するのが常套手段じゃないですか。
  本当に次から次へととんでもないことを考えつくよなぁ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    ここでいうNICTが強大な権限を与えられた近未来サイバーパンクが待たれますね
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    まさにこれ。前例作ってあとは、範囲広げるやり方。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  なお、マスコミは報道のためを口実にすれば、何をやっても許される模様。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  新聞の記者らも調査しても問題ないんだろ
単純なパスワード (スコア:1)

by nemui4 (20313) on 2018年01月23日 7時31分 (#3349151) 日記

同じ文字が続いたり並び順だったり規則的なアルファニューメリックの並びとか、辞書に乗ってる単語とか。
もしくは機器出荷時のデフォルト設定パスワードになるのかな。
「単純な」だけにしとくと後々禍根を残しそうな予感。
NICTのお知らせや広報では分からなかった。
- 逆転の発想 (スコア:3)
  
  by tori_sanpo (39645) on 2018年01月23日 8時04分 (#3349158) 日記
  
  NICTがアクセスできたものが簡単なパスワードです
  
  シェア
  
  親コメント
  - Re:逆転の発想 (スコア:3, 参考になる)
    
    by nemui4 (20313) on 2018年01月23日 8時19分 (#3349162) 日記
    
    なるほど、それが正解っぽい。
    文書にするなら「第三者が容易に推測可能である単純なパスワード」でよさげ。
    
    シェア
    
    親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  はじめからdolphinsは複雑なパスワード [security.srad.jp]としておけばOK。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  別途政令等で定めるんじゃないですかね。
  政府認定「単純なパスワード」リストが出来上がる。
  - Re:単純なパスワード (スコア:3, おもしろおかしい)
    
    by nemui4 (20313) on 2018年01月23日 9時20分 (#3349191) 日記
    
    ＞政府認定「単純なパスワード」リストが出来上がる。
    そこに私のパスワードが公開されていますので、大変申し訳ありませんがリストから削除していただけますか。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      入江省三さんあたりが来て「すいませんねぇ、リストも公文書なので、勝手にパスワードの削除はできないんです。お詫びと言っちゃ何ですが、貴方を削除することなら、私の職権で……」と（何
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      はい，削除しますのでどのパスワードが該当するのか明示願います。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ブルートフォースでサーバーへの負荷が問題になるのであればまた別の法律の触れるだろ。
  そんな負荷無しにアクセスできちゃったらそれで単純なパスワードでいいよ。
  犯罪上等な国からのアクセスの方がよほど現実的に考えられる最大の脅威なのにNICTがEvil化する心配しか考えてないコメント多くて違和感
- Re: (スコア:0)
  
  by Anonymous Coward
  
  で、本気の強固なパスワードを多用する者を不穏分子としてマークするわけですね。
  従順な国民だけを育むメソッド。
調査するだけじゃなくて (スコア:0)

by Anonymous Coward on 2018年01月23日 8時27分 (#3349168)

ネットワークから遮断するとかファームウェア強制アップデートするとか脆弱性突いてソフト改竄して、アップデート促すメッセージを出すとかすればいいのに
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そういやそんなことやってるハッカーがいましたね。
  スラドでも話題になっていたような…思い出せない
- Re: (スコア:0)
  
  by Anonymous Coward
  
  さすがにあかんでしょうそれは。でもアクセスできるだけだと意味なさそう。個別に連絡とるとか現実的じゃないし。
単純な辞書攻撃と単純なブルートフォース攻撃 (スコア:0)

by Anonymous Coward on 2018年01月23日 8時54分 (#3349180)

これ認めたら際限なくなるだろ。
一度認めたら、時間かけて攻撃のバリエーション増やせるし。
考えたやつはバカか、合法的に悪い事できるようにした馬鹿かどっちか。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  文字コードで割り当てられてるから単純と言えるし、所詮0と1の塊だし。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  認める理由分からんわ
  そりゃ被害にあっても自己責任は自己責任やろうけど
  自宅だって鍵あいてても泥棒入ったら泥棒は犯罪だろ
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そりゃ中入ったら犯罪だけど
    「あんたんとこの鍵壊れてますよ・扉開けっ放しですよ」
    と教えてくれたらうれしくない？
    さっきからなんかわしNICTのまわしもんみたいだな。ぜんぜん違うからね
    あそこはお金を鷹揚に使い過ぎ。もっとシェイプしろや
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ちょっと留守にしてて帰ってきたら「ダイヤル錠のナンバーが000では単純すぎますよ」って言われるんだろ？
      気持ち悪いよ
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        「001」から「999」までは試したが開かなかったんで引きちぎりました。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    国外の窃盗集団が街中を闊歩している中、どこぞの田舎よろしくドアにも
    窓にも鍵をかけず、資産(情報)盗まれまくりだから、注意せざるを得ない
    というところだろ。
    本来は、警察の役割じゃない？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  元ネタのNICT限定というのはお読みになられてますか？
  カネもヒトもかけられない中小企業が無料（？）で監査してもらえて
  「あんたんとこコレ危ないよ。直しといてね」って有益だと思う
  NICT自体はそんなにコストかからんだろうし
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    なぜNICTが善という前提なのか
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      単なる私の感想で申し訳ないけどNICTはよくやってると思うお金の使い道ははなはだ疑問であるが
      で、繰り返しになってもうしわけないけど、どうせ攻撃はされまくってるわけで
      ついでに（？）「あんたんとこのこれやべーよ？」と教えてくれる機関があれば
      そこにリソース注げない弱いところはうれしいんじゃないかとコストパフォーマンスもそんなに悪くないと思う
      で、実際それやるんなら現状NIIかNICTぐらいしかなくね？サイバーなんとかとかはちょっと違うよね
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        これからは外見NICTで中身は官邸とか公安とかになるってこと
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        裁判所通さなくてよくなるし
        やりたい放題ですな
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    単純なパスワードが1万だったら1万アクセスしてくるし、iotだったら従量制かもしれないし、迷惑極まりない
そもそも (スコア:0)

by Anonymous Coward on 2018年01月23日 9時32分 (#3349196)

合法にした方が良い理由はなんなのだろう？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  注意喚起のための行動が違法になりうるからじゃない？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  IoT対応家電とか普及させたいなら、リテラシの啓蒙とか状況の把握とかは絶対必要だからなぁ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  今は違法だから合法的に悪い事したいからでしょ。(イリーガルマルウェアとか作って。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  家庭用のルータには時々脆弱性が見つかる。WiSoC製造元のファームをロゴ変えて焼いただけのような奴らな。
  インターネット側からadmin/adminで入れちゃうとか、root@hostname:rootとか、そういう奴な。
  それがニュースになって、業界団体やISPが運用者を特定して対処のお願いをするような事例が増えてきた。例えば
  インターネットからIP滅多打ちして問題の機器を探し、あるいはMACアドレスからモデルを特定し、契約者に連絡して
  使用を中止してもらったりファームウェアを更新してもらったりするわけだ。昔なら侵入されて困るのは運用者本人だけ
  だったんだが、今では自動でクラックされてDDoSサービスに加担させられるような事例が出てきたからな。
  で、そういった警告はまったくの違法行為なんだが、社会的に仕方がないので総務省が個別に特例としてお目こぼししてた。
  1度か2度の例外なら仕方がないが、特にルータに留まらずIoTデバイスが増えて行けば今後も何度でも起きる問題だ。
  だからそれを制度化しよう、という話だろう。
ネットワークアクセス制限。 (スコア:0)

by Anonymous Coward on 2018年01月23日 10時53分 (#3349241)

ネットワークのポートフィルタリングなどで特定のIPアドレスからしかアクセスできない機器が増えるだけだろうなあ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  それはそれで正しいセキュリティ対策だと思うが
  何か問題でも?
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    単に、調査目的のハッキングが合法化されても、ネットワークのアクセス制限が強化されるぐらいで、「単純なパスワード」が無くなるわけでは無いということでは？
    セキュリティの強度的にも、目的とする機器に目的とされる場所からだけアクセスできる状態であれば、下手なパスワードで防御するよりは強力だ。
英断 (スコア:0)

by Anonymous Coward on 2018年01月23日 14時42分 (#3349382)

オレオレ詐欺防止にも同じ手法を導入すべき
- Re:英断 (スコア:1)
  
  by hjmhjm (39921) on 2018年01月23日 19時30分 (#3349558)
  
  ちょっといきすぎると、おとり捜査になってまう。
  ある程度まではいいようにも思うけど、恣意的に行われると犯罪創造し放題になりかねないしなー。
  
  シェア
  
  親コメント
- Re:パスワード変えたけど古いパスワードでもログインできるシステムの場合 (スコア:1)
  
  by nemui4 (20313) on 2018年01月23日 10時37分 (#3349235) 日記
  
  >どうすんのこれ
  そんなザルシステムは使わないでFA
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  中継サーバ挟んで半隔離かな
  二倍のIO性能を備え最小機能としてログイン要求だけトラップして自前処理する様な中継サーバを
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そんなシステムあんの？
  それって何のためにパスワード変える機能が付いてるんだ？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

大事なとこが抜けてる (スコア:5, 参考になる)

Re:大事なとこが抜けてる (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

単純なパスワード (スコア:1)

逆転の発想 (スコア:3)

Re:逆転の発想 (スコア:3, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re:単純なパスワード (スコア:3, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

調査するだけじゃなくて (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

単純な辞書攻撃と単純なブルートフォース攻撃 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

そもそも (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

ネットワークアクセス制限。 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

英断 (スコア:0)

Re:英断 (スコア:1)

Re:パスワード変えたけど古いパスワードでもログインできるシステムの場合 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)