NOTICS

925765_R

NOTICS

NOTICEはNational Operation Towards IoT Clean Environmentの略で、国立研究開発法人情報通信研究機構(National Institute of Information and Communications Technology; NICT)が行うサイバー攻撃に悪用されるおそれのあるIoT機器の調査と、電気通信事業者を通じたユーザーへのセキュリティ対策を促すプロジェクトで、2月20日から開始されます。

総務省の発表では、プロジェクトの主な取組みは次の3点となっています。

①NICTがインターネット上のIoT機器に、容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を特定。

②当該機器の情報を電気通信事業者に通知。

③電気通信事業者が当該機器の利用者を特定し、注意喚起を実施。

(IoT機器調査及び利用者への注意喚起の取組「NOTICE※」について:http://www.soumu.go.jp/main_content/000597680.pdf より)

notics2019_001_Rhttps://notice.go.jp/ より)

特定アクセス行為

このプロジェクトを実施するにあたっては、昨年(2018年)の5月に「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」(5月16日制定、5月23日に公布)において「国立研究開発法人情報通信研究機構法」が改正され、業務の特例として5年間の期限付きですが、次のような業務が加えられました。(施行日:11月1日)

(業務の特例)

第八条 (略)

2 機構は、第十四条及び前項に規定する業務のほか、平成三十六年三月三十一日までの間、次に掲げる業務を行う。

一 特定アクセス行為を行い、通信履歴等の電磁的記録を作成すること。

NOTICEはこの法律でいうところの「特定アクセス行為」になるのだろうと思いますが、法律からは5年間の期限付きのプロジェクトということになります。

また、「特定アクセス行為」と「不正アクセス禁止法」との整合性から「不正アクセス禁止法」も一部改められています。これまでは不正アクセス行為について次のように定められていました。

4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。

一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。

しかし、法改正によって「を除く」が下記のようになりました。

及び国立研究開発法人情報通信研究機構法 (平成十一年法律第百六十二号)附則第九 条の認可を受けた同条の計画に基づき同法 附則第八条第二項第一号に掲げる業務に従事する者がする同条第四項第一号に規定する特定アクセス行為を除く(官報:平成30年5月23日水曜日 号外第109号より)

つまり、NOTICEで行われるIoT機器への侵入は不正アクセス行為にあたらないとしたわけです。

また、「国立研究開発法人情報通信研究機構法」の附則第九条に

機構は、前条第二項に規定する業務を実施しようとするときは、総務省令で定めるところにより、当該業務の実施に関する計画を作成し、総務大臣の認可を受けなければならない。これを変更しようとするときも、同様とする。

とあり、これにより国立研究開発法人情報通信研究機構が、情報通信行政・郵政行政審議会に平成31年1月9日付けで実施計画を諮問し、1月25日に同審議会から諮問のとおり認可することが適当とする旨の答申が総務大臣にありました。そして2月1日に前述のNOTICEの発表となったわけです。

1月25日に答申が出された時点で一部メディアやWeb上では、国による不正アクセスであり通信の秘密に抵触のおそれがあるといった懸念を示す意見や、パスワードが正しく設定されていない機器が多く存在しており、オリンピック・パラリンピックを前にしてサイバー攻撃を防ぐための必要な措置であるといった理解を示す意見なども様々な意見が交わされていました。

Web・テック関連の海外メディアも、世界でも例のない調査ということで、1月25日ごろから「Japan Will Hack Its Citizens’ IoT Devices To ‘Make Them Secure’(Fossbytes)」「Japanese government will hack citizens’ IoT devices(TechRadar)」「Japanese government plans to hack into citizens’ IoT devices(ZDNet)」「Japan law will allow government to hack civilian IoT devices(IT PRO)」などといった見出しで、IoT危機への国の無差別侵入を伝えていました。

実施計画

では、国立研究開発法人情報通信研究機構(National Institute of Information and Communications Technology; NICT))の実施計画とはどんなないようなのでしょうか?具体的な内容はNOTICE のホームページのFAQなどに記されています。

それによれば、国内の約2億のIPv4のグローバルアドレスに対してポートスキャンを行い、セッションが確立できるか確認します。次にID、パスワードによる認証要求があったものについて、ID、パスワードを入力し、特定アクセス行為を行うことができるか確認します。入力するID・パスワードはこれまでサイバー攻撃のために用いられたものや同一文字や連続した番号など約100通りです。調査はプログラムを用いて自動で行われます。特定アクセス行為を行うことができた機器については、通信履歴などの電磁的記録を作成し、電気通信事業者にサイバー攻撃の恐れへの対処を求める通知を行います。通知を受けた事業者はユーザーに対して、パスワードの設定等の変更を行うよう注意喚起をします。総務省では、サポートセンターを設置して、ユーザーがパスワードの変更などの設定が行えるよう支援するとしています。

notics2019_002_R(国立研究開発法人情報通信研究機構法(平成11年法律第162号) 附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要 http://www.soumu.go.jp/main_content/000595925.pdf 参照)(https://notice.go.jp/ より)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です