IoTセキュリティを注意喚起する「NOTICE」、基本的な対策の徹底を

「NOTICE」プロジェクトで悪用の恐れがある機器を利用者に注意喚起

　機器の利用者が適切なセキュリティ対策を講じるためのプロジェクトとして運営されているのが2019年に始動した「NOTICE」である。NICTが検知したマルウエアに感染している、あるいはまた感染の恐れがあるIoT機器の利用者に対しISPから注意喚起する。2018年5月に改正された「国立研究開発法人情報通信研究機構法」に基づき、2019年2月からNICTが調査している（図3）。

図3：2019年に始動した「NOTICE」は利用者への注意喚起を目的にIoT機器を調査している

　NICTによる「特定アクセス調査」によれば、初期設定のパスワードを使うなど、管理者権限を容易に取得できる機器が一定数存在している。また、NICTによるリフレクション攻撃の観測結果を元に、どのサービスが悪用されていのるかを調べたところ、「NTP（Network Time Protocol）やDNS、SNMP（Simple Network Management Protocol）をはじめ、外部に公開されている151種類のサービス（ポート）が悪用されていた。中には、IP電話製品のデバッグコマンドを悪用する動きもあった」（酒井氏）という。

　IoTボットネットは、ルーターなど不特定多数のIoT機器をマルウェアなどで感染させ、攻撃者の管理下に置くことで、C＆C（コマンド＆コントロール）サーバーからコマンドで制御する。

　酒井氏は「攻撃側の役割分担も細分化されている。、世界中で日々報告されるIoT機器の脆弱性情報をウォッチし、いち早くIoT機器をボットネットに組み込む役割を担う者もあるようだ。実際、クリティカルな脆弱性の検証コードが公開された直後にIoT機器への攻撃が急増する傾向がある。実態を把握し効果的な対策を打つ必要がある」と強調する。

　NOTICEの成果として酒井氏は、「ID・パスワード等に脆弱性があるIoT機器の実態把握」を挙げる。国内に約2億あるIPアドレスのうち約半数を、NICTが法律に基づいて毎月調査している。ID・パスワードに脆弱性があるIoT機器には、「10年以上前の機種が4割強も存在する。メーカーからのパッチも適用されてない機器が相当数残存することが明らかになっている」（酒井氏）

　その背景には「利用者の意識に関する課題がある」と酒井氏は指摘する。個人利用者は、IoT機器のセキュリティ対策に対する意識が十分ではなく、対策方法も個人には難しいものになっている。一方、法人利用者では、「管理責任の所在があいまいで、適切な管理体制がないケースも見られる」（同）とする。

C＆Cサーバーの通信を遮断する視点での調査も開始

　今後について酒井氏は、「サイバー攻撃の踏み台となり得るIoT機器に対する観測能力の維持・強化を図り、利用者への注意喚起の実効性向上や、注意喚起効果のより詳細な把握、ISP向けガイドラインの策定などを通じ、IoT機器へのにセキュリティ対策をすることが常識になるようにしたい」と力を込める。

　既に総務省は、IoT端末側の対策だけでなく、C＆Cサーバーの通信を遮断するという視点での調査も始めている。2023年からは、電気通信事業者におけるフロー情報分析によるC＆Cサーバーの検知を調査しており、「フロー情報の分析を通じて、サイバー攻撃の指令元であるC＆Cサーバーを検知する技術の実証などにも取り組んでいる」（酒井氏）

　「国内にある多くのIoT機器が、利用者が気づかないうちにDDoS攻撃の発生源になっている。利用者には、（1）IoT機器を悪用されないために推測しにくいパスワードを設定する、（2）利用していない機能を停止する、（3）ソフトウェアを更新するといった基本的な対策に協力してほしい」と酒井氏は呼びかけた。