容易に推測されるパスワードは注意される

2019年2月1日に、総務省と情報通信研究機構(NICT)が、IoT機器調査および利用者への注意喚起の取り組み「NOTICE」の実施を発表しました。

これは、簡単にいうと、さまざまなネットワークにつながる国内のIoT機器に対して、脆弱なIDとパスワードの組み合わせを設定している利用者を見つけ出し、国がその利用者へセキュリティ対策が不十分であることを注意喚起するという、IoT機器の安全性調査です。誰でも思いつきそうなIDやパスワードを設定していたら、知らない人がネットワークに侵入して悪いことをされる恐れがありますよ、という注意を促しているわけです。
国を挙げての本格的な取り組みにより、セキュリティ対策はいよいよ他人事ではなくなりました。


覚えるのがたいへんだし、毎回入力するのがわずらわしいからと、簡単なパスワードを設定したら、ネットワークに侵入されて取り返しのつかないことになるかも……

新しいNISAの“裏技”教えます! ニッセイアセットマネジメントの情報発信&資産運用アプリ

総務省の報道では、調査の具体的な内容は、「IoT機器に設定されているIDやパスワード(「password」や「123456」など)が容易に推測されるものかどうかを確認する」と書かれています。

IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施 – 総務省

どのようなIDやパスワードであれば注意喚起の対象とならずに済むのでしょうか。総務省の外郭団体である「独立行政法人情報処理推進機構 (通称 IPA)」が発表した2012年に「不正アクセス対策のしおり」では、パスワードに関するセキュリティ対策として下記のように紹介しています。

■パスワードの設定例

(1) 大文字・小文字・数字・記号の組み合わせ
記号(!、#など)、数字、英字を適当に織り交ぜる

(2) 長いパスワード
最低8文字以上

(3) 推測しづらく自分が忘れないパスワード
無作為で意味を持たない文字列であること

上記に該当しないパスワードを設定している場合、注意喚起の対象になりそうです。調査はすでにスタートしており、実際に一般ユーザーの方がNOTICEからのアクセスを監視・検知したレポートをすでにWEB上で公開しています

あらゆる製品にセキュリティ対策が求められる時代

そもそも、IoTとはInternet of Thingsの略称で、日本語では「モノのインターネット」と称されています。つまりIoT機器とは、インターネットなどのネットワークに接続されるすべての機器です。パソコンやサーバー、ルーターといった情報機器は従来からネットワークに接続されていましたが、近年はテレビや録画装置、オーディオ機器はもちろん、冷蔵庫や洗濯機などの白物家電、エアコンや換気扇といったものまでネットワークに接続された製品がどんどん登場しています。

近年のIT化の進展には凄まじいものがあります。イメージしやすい身近な例として、スマートフォン(以下スマホ)を挙げてみましょう。
いまや「スマホ依存症」という言葉が生まれるほど私たちの生活に浸透したこのスマホが登場したのは、今から約10年前の、2000年代後半です。Appleが2007年に初代iPhoneを発表し、携帯電話の世界に革新を起こしました。日本で発売されたのは翌年2008年。2010年代に入り、スマホは爆発的に普及しました。

2019年3月現在、たいていのことは、スマホひとつあれば済ませられるようになりました。電話やメールはもちろんのこと、道に迷えば地図アプリを立ち上げて正しいルートを確認できるし、電車に乗る際はスマホを改札機にかざして通過できます。移動時間には映画やドラマなどの動画を視聴できますし、音楽の視聴も当然可能です。最近は、国を挙げたキャッシュレス化の促進により、店頭での支払いも現金代わりにスマホをリーダーにかざして数秒で完了するようになりました。
また、スマホでタクシーを乗る場所から降りる場所まで指定して手配することができるアプリも登場しています。アプリが最適ルートを提示し、それをドライバーと共有するので、乗った瞬間からドライバーは目的地を把握しているのです。車内では、財布を取り出すことはありません。タクシードライバーのなかには、カーナビ代わりにスマホをセットして活用している人もいます。数年前までは考えられない光景です。
これらはすべて、スマホがインターネットなどのネットワークを介してあらゆるものに接続することで可能としています。便利さの追求により、スマホをはじめとするたくさんの機器が、今後もさらにネットワークでつながっていくといわれています。

わたしたちの生活がどんどん快適になっていく一方で、セキュリティ対策の重要性もどんどん増しています。しかし、いくら重要性を説かれたところで、被害に遭った経験がなければ率先してセキュリティ対策を行おうと思う人は少ないと考えられます。
今回のような国からの指導は、セキュリティに関心が薄い人々にとって、義務的な煩わしいものとしか感じないのではないでしょうか。そこで次回は、セキュリティ対策が甘いとどのような事件が起こりえるのか、実際に見聞きした事例も含めて紹介していきます。

メルマガ会員募集中

ESG特集