セキュリティ ニュース

日本政府の NOTICE プログラムはプライバシーを侵害する可能性が?

Nica Latto, 2019年6月12日

NOTICE の名目は「セキュリティ ヘルスチェック」ですが、実際には 2 億台のデバイスを侵害する可能性があります。今すぐできる対策をご紹介します。

サイバーセキュリティを推進する一方で、政府が個人のデバイスやデータを侵害する可能性があります。今すぐ簡単な対策を実行して、ご自身の安全とプライバシーを守りましょう。

日本政府は 2019 年 2 月 20 日より、「NOTICE(National Operation Towards IoT Clean Environment)」を実施しています。このプログラムは、国民の IoT デバイス、ウェブカメラ、ルーターなどの安全性をテストするものです。残念ながら、政府によるこのテストはユーザーのプライバシーを侵害しかねない方法で行われています。

NOTICE の調査は、ユーザーのデバイスに侵入を試みる形で行われます。つまり、個人情報を盗んだりウイルスを蔓延させたりする目的でハッカーがデバイスに侵入するのと同様です。政府によって脆弱性がチェックされるのを待たずとも、お使いのスマート デバイスやルーターに誰が侵入しようとしても安全性を確保するために今すぐできる簡単な対策があります。

NOTICE プログラムの実施理由とその影響

政府によるこの取り組みは、2020 年東京夏季オリンピックに向けたサイバーセキュリティ対策の一環です。IoT セキュリティの推進は確かに賢明です。しかし、NOTICE プロジェクトで個人情報を含む可能性のあるデバイスのハッキングを試みる必要が本当にあるのでしょうか。このプロジェクトはルーターやウェブカメラに始まり、その他のスマート デバイスに移行します。たとえばウェブカメラに侵入されると、個人の画像や動画へのアクセス権を政府に与えてしまうことになりかねません。現時点では、政府がこのデータを保存するかどうか、データの保存期間、本物のハッカー対策についてなどの情報は公開されていません。 

NOTICE の具体的な目的

総務省(MIC)と国立研究開発法人情報通信研究機構(NICT)の協働により、脆弱なパスワードや設定といったセキュリティ上の弱点をテストする目的で、2 億台のデバイスを対象に「セキュリティ ヘルスチェック」が行われます。MIC と NICT は電気通信事業者とも連携しています。デバイスが侵害された場合、ユーザーはサービス プロバイダーから通知を受けます。

activity

サービス プロバイダーから通知を受けた場合、その内容には強力なパスワードの作成方法やデバイス設定の更新方法、マルウェアの回避方法に関する情報が含まれています。ここで疑問が生じます。そもそも政府はなぜ、国民のデバイスに侵入する必要があるのでしょうか?すべての国民に対して、単純に IoT セキュリティをさらに強化するよう奨励すればよいのではないでしょうか。政府の意図はともかく、自分自身の安全を確保するために個人で実行できる簡単な方法を紹介します。もちろんハッキングの心配はありません。

自分の IoT デバイスを保護するには

  1. ルーターのセキュリティを強化する
    ルーターは NOTICE プログラムで最初に確認する項目の 1 つです。これは当然でしょう。ルーターのセキュリティが脆弱な場合、コンピューターや電話、スマート ガジェットに至るまで、その他すべてのデバイスが危険にさらされる可能性があります。そこで、ルーターを確実に保護しましょう。まずは多くのルーターで使用されている WPA です。これがデフォルト設定になっている場合は、WPA2 暗号化方式に変更してください。これでハッカー対策を強化できます。また、リモート アクセス サービスはすべて無効にしてください。 次に、デフォルトのユーザー名とパスワードを変更したことが 1 度もない場合は、すぐに変更してください。その際、推測されにくい強力なパスワードを使用しましょう。また、ルーターのファームウェアは必ず最新版をインストールしてください(企業はセキュリティ上の脆弱性を修正する目的でファームウェアの更新を発表しているため、これらをインストールすることは非常に重要です)。

  2. デフォルト設定のままデバイスを使用しない
    強力なパスワードが必要なのはルーターだけではありません。スマート冷蔵庫でも監視カメラでも、インターネットに接続しているデバイスはすべて、強力なパスワードで保護する必要があります。また、不便かもしれませんが、複数のデバイスで同じパスワードを使い回すことは決しておすすめできません。ガジェットにはすべて、固有のパスワードを割り当てるようにしましょう。

  3. 常に迅速にアップデートを実行する
    繰り返しになりますが、これはルーターに限ったことではありません。多くの場合、IoT デバイスの製造業者はセキュリティ上の脆弱性を修正するために、ソフトウェアとファームウェアのアップデートをリリースしています。最新版が入手可能になったら、すぐにアップデートすることを常に心がけましょう。

  4. デバイスを再起動してマルウェアを一掃する
    IoT デバイスでよく見られるマルウェアは、Mirai などのボットネットです。これらのマルウェアは、デバイスを乗っ取り DDoS 攻撃などの違法行為に利用します。幸いなことに、このタイプのマルウェアはデバイスを再起動するだけで駆除できます。

  5. Wi-Fi ネットワークを点検する
    アバストのアンチウイルス製品には、すべて Wi-Fi インスペクターという特別な機能が組み込まれています。これを使用してください。この機能を使用すると、ホーム ネットワークのスキャンとセキュリティ レベルの評価が可能になり、接続されているデバイス(ネットワーク上に不正なデバイスがないかどうか)やルーターの設定(最も安全なオプションを使用しているかどうか)を確認できるようになります。Wi-Fi インスペクターの使用方法については、こちらで詳細をご覧ください。

 スマート IoT のセキュリティ対策を実践するのは、デバイスを箱から出してすぐ使うことに比べれば簡単ではないかもしれません。しかし、時間をかけてデバイスを適切に設定すること(そしてその状態を維持し続けること)が、自分の身を守る上で大きな違いを生むことは間違いありません。政府の NOTICE プログラムに対する考え方は人それぞれですが、手持ちのデバイスをリストにまとめ、それらを安全に使用しているかどうかを確認することは決して無駄にはなりません。