単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動き 56
ストーリー by hylom
調査目的と言い逃れできないようにしてほしい 部門より
調査目的と言い逃れできないようにしてほしい 部門より
IoT機器のセキュリティ対策強化に向けて、政府が「単純なパスワード」が設定された機器に対して無断でアクセスを行うことを認める方針だという(共同通信)。
現行の不正アクセス禁止法では、いかなる場合でも他人のID/パスワードを使って無断で機器にアクセスすることは禁じられていた。これに対し、単純なパスワードの場合は認めるなど制限を緩和し、一定のアクセスを認める方向だという。
大事なとこが抜けてる (スコア:5, 参考になる)
「NICTの調査に限っては」認めるということ
誰でもアクセスして良いよって訳じゃないから注意
Re:大事なとこが抜けてる (スコア:1)
NICTが調査を下請けに出すことを認めるのか、それともNICTが直接調査するケースだけを認めるのか。
さすがに後者だと思いたい。
Re: (スコア:0)
NICTの方から来ました。と言ってセキュリティー商品売りつける、みたいな
ナンだか電話回線商法みたいな
Re: (スコア:0)
Re: (スコア:0)
親切で戸締りチェックをしてただけですよ~
Re: (スコア:0)
AIST も OK にしよう。
Re: (スコア:0)
最初は制限つけておいてすぐにザルに変更するのが常套手段じゃないですか。
本当に次から次へととんでもないことを考えつくよなぁ。
Re: (スコア:0)
ここでいうNICTが強大な権限を与えられた近未来サイバーパンクが待たれますね
Re: (スコア:0)
まさにこれ。前例作ってあとは、範囲広げるやり方。
Re: (スコア:0)
なお、マスコミは報道のためを口実にすれば、何をやっても許される模様。
Re: (スコア:0)
新聞の記者らも調査しても問題ないんだろ
単純なパスワード (スコア:1)
同じ文字が続いたり並び順だったり規則的なアルファニューメリックの並びとか、辞書に乗ってる単語とか。
もしくは機器出荷時のデフォルト設定パスワードになるのかな。
「単純な」だけにしとくと後々禍根を残しそうな予感。
NICTのお知らせや広報では分からなかった。
逆転の発想 (スコア:3)
NICTがアクセスできたものが簡単なパスワードです
Re:逆転の発想 (スコア:3, 参考になる)
なるほど、それが正解っぽい。
文書にするなら「第三者が容易に推測可能である単純なパスワード」でよさげ。
Re: (スコア:0)
はじめからdolphinsは複雑なパスワード [security.srad.jp]としておけばOK。
Re: (スコア:0)
別途政令等で定めるんじゃないですかね。
政府認定「単純なパスワード」リストが出来上がる。
Re:単純なパスワード (スコア:3, おもしろおかしい)
>政府認定「単純なパスワード」リストが出来上がる。
そこに私のパスワードが公開されていますので、大変申し訳ありませんがリストから削除していただけますか。
Re: (スコア:0)
入江省三さんあたりが来て「すいませんねぇ、リストも公文書なので、勝手にパスワードの削除はできないんです。お詫びと言っちゃ何ですが、貴方を削除することなら、私の職権で……」と(何
Re: (スコア:0)
Re: (スコア:0)
ブルートフォースでサーバーへの負荷が問題になるのであればまた別の法律の触れるだろ。
そんな負荷無しにアクセスできちゃったらそれで単純なパスワードでいいよ。
犯罪上等な国からのアクセスの方がよほど現実的に考えられる最大の脅威なのにNICTがEvil化する心配しか考えてないコメント多くて違和感
Re: (スコア:0)
で、本気の強固なパスワードを多用する者を不穏分子としてマークするわけですね。
従順な国民だけを育むメソッド。
調査するだけじゃなくて (スコア:0)
ネットワークから遮断するとかファームウェア強制アップデートするとか脆弱性突いてソフト改竄して、アップデート促すメッセージを出すとかすればいいのに
Re: (スコア:0)
そういやそんなことやってるハッカーがいましたね。
スラドでも話題になっていたような…思い出せない
Re: (スコア:0)
さすがにあかんでしょうそれは。でもアクセスできるだけだと意味なさそう。個別に連絡とるとか現実的じゃないし。
単純な辞書攻撃と単純なブルートフォース攻撃 (スコア:0)
これ認めたら際限なくなるだろ。
一度認めたら、時間かけて攻撃のバリエーション増やせるし。
考えたやつはバカか、合法的に悪い事できるようにした馬鹿かどっちか。
Re: (スコア:0)
文字コードで割り当てられてるから単純と言えるし、所詮0と1の塊だし。
Re: (スコア:0)
認める理由分からんわ
そりゃ被害にあっても自己責任は自己責任やろうけど
自宅だって鍵あいてても泥棒入ったら泥棒は犯罪だろ
Re: (スコア:0)
そりゃ中入ったら犯罪だけど
「あんたんとこの鍵壊れてますよ・扉開けっ放しですよ」
と教えてくれたらうれしくない?
さっきからなんかわしNICTのまわしもんみたいだな。ぜんぜん違うからね
あそこはお金を鷹揚に使い過ぎ。もっとシェイプしろや
Re: (スコア:0)
ちょっと留守にしてて帰ってきたら「ダイヤル錠のナンバーが000では単純すぎますよ」って言われるんだろ?
気持ち悪いよ
Re: (スコア:0)
「001」から「999」までは試したが開かなかったんで引きちぎりました。
Re: (スコア:0)
国外の窃盗集団が街中を闊歩している中、どこぞの田舎よろしくドアにも
窓にも鍵をかけず、資産(情報)盗まれまくりだから、注意せざるを得ない
というところだろ。
本来は、警察の役割じゃない?
Re: (スコア:0)
元ネタのNICT限定というのはお読みになられてますか?
カネもヒトもかけられない中小企業が無料(?)で監査してもらえて
「あんたんとこコレ危ないよ。直しといてね」って有益だと思う
NICT自体はそんなにコストかからんだろうし
Re: (スコア:0)
なぜNICTが善という前提なのか
Re: (スコア:0)
単なる私の感想で申し訳ないけどNICTはよくやってると思う お金の使い道ははなはだ疑問であるが
で、繰り返しになってもうしわけないけど、どうせ攻撃はされまくってるわけで
ついでに(?)「あんたんとこのこれやべーよ?」と教えてくれる機関があれば
そこにリソース注げない弱いところはうれしいんじゃないかと コストパフォーマンスもそんなに悪くないと思う
で、実際それやるんなら現状NIIかNICTぐらいしかなくね? サイバーなんとかとかはちょっと違うよね
Re: (スコア:0)
これからは外見NICTで中身は官邸とか公安とかになるってこと
Re: (スコア:0)
やりたい放題ですな
Re: (スコア:0)
単純なパスワードが1万だったら1万アクセスしてくるし、iotだったら従量制かもしれないし、迷惑極まりない
そもそも (スコア:0)
合法にした方が良い理由はなんなのだろう?
Re: (スコア:0)
注意喚起のための行動が違法になりうるからじゃない?
Re: (スコア:0)
IoT対応家電とか普及させたいなら、リテラシの啓蒙とか状況の把握とかは絶対必要だからなぁ。
Re: (スコア:0)
今は違法だから合法的に悪い事したいからでしょ。(イリーガルマルウェアとか作って。
Re: (スコア:0)
家庭用のルータには時々脆弱性が見つかる。WiSoC製造元のファームをロゴ変えて焼いただけのような奴らな。
インターネット側からadmin/adminで入れちゃうとか、root@hostname:rootとか、そういう奴な。
それがニュースになって、業界団体やISPが運用者を特定して対処のお願いをするような事例が増えてきた。例えば
インターネットからIP滅多打ちして問題の機器を探し、あるいはMACアドレスからモデルを特定し、契約者に連絡して
使用を中止してもらったりファームウェアを更新してもらったりするわけだ。昔なら侵入されて困るのは運用者本人だけ
だったんだが、今では自動でクラックされてDDoSサービスに加担させられるような事例が出てきたからな。
で、そういった警告はまったくの違法行為なんだが、社会的に仕方がないので総務省が個別に特例としてお目こぼししてた。
1度か2度の例外なら仕方がないが、特にルータに留まらずIoTデバイスが増えて行けば今後も何度でも起きる問題だ。
だからそれを制度化しよう、という話だろう。
ネットワークアクセス制限。 (スコア:0)
ネットワークのポートフィルタリングなどで特定のIPアドレスからしかアクセスできない機器が増えるだけだろうなあ。
Re: (スコア:0)
それはそれで正しいセキュリティ対策だと思うが
何か問題でも?
Re: (スコア:0)
単に、調査目的のハッキングが合法化されても、ネットワークのアクセス制限が強化されるぐらいで、「単純なパスワード」が無くなるわけでは無いということでは?
セキュリティの強度的にも、目的とする機器に目的とされる場所からだけアクセスできる状態であれば、下手なパスワードで防御するよりは強力だ。
英断 (スコア:0)
オレオレ詐欺防止にも同じ手法を導入すべき
Re:英断 (スコア:1)
ちょっといきすぎると、おとり捜査になってまう。
ある程度まではいいようにも思うけど、恣意的に行われると犯罪創造し放題になりかねないしなー。
Re:パスワード変えたけど古いパスワードでもログインできるシステムの場合 (スコア:1)
>どうすんのこれ
そんなザルシステムは使わないでFA
Re: (スコア:0)
中継サーバ挟んで半隔離かな
二倍のIO性能を備え最小機能としてログイン要求だけトラップして自前処理する様な中継サーバを
Re: (スコア:0)
そんなシステムあんの?
それって何のためにパスワード変える機能が付いてるんだ?