パスワードを忘れた? アカウント作成
13508467 story
セキュリティ

単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き 56

ストーリー by hylom
調査目的と言い逃れできないようにしてほしい 部門より

IoT機器のセキュリティ対策強化に向けて、政府が「単純なパスワード」が設定された機器に対して無断でアクセスを行うことを認める方針だという(共同通信)。

現行の不正アクセス禁止法では、いかなる場合でも他人のID/パスワードを使って無断で機器にアクセスすることは禁じられていた。これに対し、単純なパスワードの場合は認めるなど制限を緩和し、一定のアクセスを認める方向だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年01月23日 7時07分 (#3349146)

    「NICTの調査に限っては」認めるということ
    誰でもアクセスして良いよって訳じゃないから注意

    • by Anonymous Coward on 2018年01月23日 8時30分 (#3349169)

      NICTが調査を下請けに出すことを認めるのか、それともNICTが直接調査するケースだけを認めるのか。
      さすがに後者だと思いたい。

      親コメント
      • by Anonymous Coward

        NICTの方から来ました。と言ってセキュリティー商品売りつける、みたいな
        ナンだか電話回線商法みたいな

      • by Anonymous Coward
        今も下請けに出してるし、変わらないんじゃないかな
    • by Anonymous Coward

      親切で戸締りチェックをしてただけですよ~

    • by Anonymous Coward

      AIST も OK にしよう。

    • by Anonymous Coward

      最初は制限つけておいてすぐにザルに変更するのが常套手段じゃないですか。
      本当に次から次へととんでもないことを考えつくよなぁ。

      • by Anonymous Coward

        ここでいうNICTが強大な権限を与えられた近未来サイバーパンクが待たれますね

      • by Anonymous Coward

        まさにこれ。前例作ってあとは、範囲広げるやり方。

    • by Anonymous Coward

      なお、マスコミは報道のためを口実にすれば、何をやっても許される模様。

    • by Anonymous Coward

      新聞の記者らも調査しても問題ないんだろ

  • by nemui4 (20313) on 2018年01月23日 7時31分 (#3349151) 日記

    同じ文字が続いたり並び順だったり規則的なアルファニューメリックの並びとか、辞書に乗ってる単語とか。
    もしくは機器出荷時のデフォルト設定パスワードになるのかな。
    「単純な」だけにしとくと後々禍根を残しそうな予感。
    NICTのお知らせや広報では分からなかった。

    • by tori_sanpo (39645) on 2018年01月23日 8時04分 (#3349158) 日記

      NICTがアクセスできたものが簡単なパスワードです

      親コメント
    • by Anonymous Coward

      はじめからdolphinsは複雑なパスワード [security.srad.jp]としておけばOK。

    • by Anonymous Coward

      別途政令等で定めるんじゃないですかね。
      政府認定「単純なパスワード」リストが出来上がる。

      • Re:単純なパスワード (スコア:3, おもしろおかしい)

        by nemui4 (20313) on 2018年01月23日 9時20分 (#3349191) 日記

        >政府認定「単純なパスワード」リストが出来上がる。

        そこに私のパスワードが公開されていますので、大変申し訳ありませんがリストから削除していただけますか。

        親コメント
        • by Anonymous Coward

          入江省三さんあたりが来て「すいませんねぇ、リストも公文書なので、勝手にパスワードの削除はできないんです。お詫びと言っちゃ何ですが、貴方を削除することなら、私の職権で……」と(何

        • by Anonymous Coward
          はい,削除しますのでどのパスワードが該当するのか明示願います。
    • by Anonymous Coward

      ブルートフォースでサーバーへの負荷が問題になるのであればまた別の法律の触れるだろ。
      そんな負荷無しにアクセスできちゃったらそれで単純なパスワードでいいよ。

      犯罪上等な国からのアクセスの方がよほど現実的に考えられる最大の脅威なのにNICTがEvil化する心配しか考えてないコメント多くて違和感

    • by Anonymous Coward

      で、本気の強固なパスワードを多用する者を不穏分子としてマークするわけですね。
      従順な国民だけを育むメソッド。

  • by Anonymous Coward on 2018年01月23日 8時27分 (#3349168)

    ネットワークから遮断するとかファームウェア強制アップデートするとか脆弱性突いてソフト改竄して、アップデート促すメッセージを出すとかすればいいのに

    • by Anonymous Coward

      そういやそんなことやってるハッカーがいましたね。
      スラドでも話題になっていたような…思い出せない

    • by Anonymous Coward

      さすがにあかんでしょうそれは。でもアクセスできるだけだと意味なさそう。個別に連絡とるとか現実的じゃないし。

  • by Anonymous Coward on 2018年01月23日 8時54分 (#3349180)

    これ認めたら際限なくなるだろ。
    一度認めたら、時間かけて攻撃のバリエーション増やせるし。
    考えたやつはバカか、合法的に悪い事できるようにした馬鹿かどっちか。

    • by Anonymous Coward

      文字コードで割り当てられてるから単純と言えるし、所詮0と1の塊だし。

    • by Anonymous Coward

      認める理由分からんわ
      そりゃ被害にあっても自己責任は自己責任やろうけど
      自宅だって鍵あいてても泥棒入ったら泥棒は犯罪だろ

      • by Anonymous Coward

        そりゃ中入ったら犯罪だけど
        「あんたんとこの鍵壊れてますよ・扉開けっ放しですよ」
        と教えてくれたらうれしくない?

        さっきからなんかわしNICTのまわしもんみたいだな。ぜんぜん違うからね
        あそこはお金を鷹揚に使い過ぎ。もっとシェイプしろや

        • by Anonymous Coward

          ちょっと留守にしてて帰ってきたら「ダイヤル錠のナンバーが000では単純すぎますよ」って言われるんだろ?
          気持ち悪いよ

          • by Anonymous Coward

            「001」から「999」までは試したが開かなかったんで引きちぎりました。

      • by Anonymous Coward

        国外の窃盗集団が街中を闊歩している中、どこぞの田舎よろしくドアにも
        窓にも鍵をかけず、資産(情報)盗まれまくりだから、注意せざるを得ない
        というところだろ。

        本来は、警察の役割じゃない?

    • by Anonymous Coward

      元ネタのNICT限定というのはお読みになられてますか?
      カネもヒトもかけられない中小企業が無料(?)で監査してもらえて
      「あんたんとこコレ危ないよ。直しといてね」って有益だと思う
      NICT自体はそんなにコストかからんだろうし

      • by Anonymous Coward

        なぜNICTが善という前提なのか

        • by Anonymous Coward

          単なる私の感想で申し訳ないけどNICTはよくやってると思う お金の使い道ははなはだ疑問であるが

          で、繰り返しになってもうしわけないけど、どうせ攻撃はされまくってるわけで
          ついでに(?)「あんたんとこのこれやべーよ?」と教えてくれる機関があれば
          そこにリソース注げない弱いところはうれしいんじゃないかと コストパフォーマンスもそんなに悪くないと思う
          で、実際それやるんなら現状NIIかNICTぐらいしかなくね? サイバーなんとかとかはちょっと違うよね

          • by Anonymous Coward

            これからは外見NICTで中身は官邸とか公安とかになるってこと

            • by Anonymous Coward
              裁判所通さなくてよくなるし
              やりたい放題ですな
      • by Anonymous Coward

        単純なパスワードが1万だったら1万アクセスしてくるし、iotだったら従量制かもしれないし、迷惑極まりない

  • by Anonymous Coward on 2018年01月23日 9時32分 (#3349196)

    合法にした方が良い理由はなんなのだろう?

    • by Anonymous Coward

      注意喚起のための行動が違法になりうるからじゃない?

    • by Anonymous Coward

      IoT対応家電とか普及させたいなら、リテラシの啓蒙とか状況の把握とかは絶対必要だからなぁ。

    • by Anonymous Coward

      今は違法だから合法的に悪い事したいからでしょ。(イリーガルマルウェアとか作って。

    • by Anonymous Coward

      家庭用のルータには時々脆弱性が見つかる。WiSoC製造元のファームをロゴ変えて焼いただけのような奴らな。
      インターネット側からadmin/adminで入れちゃうとか、root@hostname:rootとか、そういう奴な。

      それがニュースになって、業界団体やISPが運用者を特定して対処のお願いをするような事例が増えてきた。例えば
      インターネットからIP滅多打ちして問題の機器を探し、あるいはMACアドレスからモデルを特定し、契約者に連絡して
      使用を中止してもらったりファームウェアを更新してもらったりするわけだ。昔なら侵入されて困るのは運用者本人だけ
      だったんだが、今では自動でクラックされてDDoSサービスに加担させられるような事例が出てきたからな。

      で、そういった警告はまったくの違法行為なんだが、社会的に仕方がないので総務省が個別に特例としてお目こぼししてた。
      1度か2度の例外なら仕方がないが、特にルータに留まらずIoTデバイスが増えて行けば今後も何度でも起きる問題だ。

      だからそれを制度化しよう、という話だろう。

  • by Anonymous Coward on 2018年01月23日 10時53分 (#3349241)

    ネットワークのポートフィルタリングなどで特定のIPアドレスからしかアクセスできない機器が増えるだけだろうなあ。

    • by Anonymous Coward

      それはそれで正しいセキュリティ対策だと思うが
      何か問題でも?

      • by Anonymous Coward

        単に、調査目的のハッキングが合法化されても、ネットワークのアクセス制限が強化されるぐらいで、「単純なパスワード」が無くなるわけでは無いということでは?
        セキュリティの強度的にも、目的とする機器に目的とされる場所からだけアクセスできる状態であれば、下手なパスワードで防御するよりは強力だ。

  • by Anonymous Coward on 2018年01月23日 14時42分 (#3349382)

    オレオレ詐欺防止にも同じ手法を導入すべき

    • by hjmhjm (39921) on 2018年01月23日 19時30分 (#3349558)

      ちょっといきすぎると、おとり捜査になってまう。

      ある程度まではいいようにも思うけど、恣意的に行われると犯罪創造し放題になりかねないしなー。

      親コメント
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...