サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】NOTICEによるIoT機器調査の検証

いよいよ来月3月9日、ハニーポッター技術交流会にデビューいたします。しかも、初回からLTで申し込みを行いました。他のハニーポッターの皆様よりも薄くて軽い内容になってしまうかと思いますが、どうか暖かく見守ってください。

 

さて、ネットで様々な議論が交わされた総務省のIoT機器の調査が、去る2月20日より開始されました。

今回は、その調査である「NOTICE(National Operation Towards IoT Clean Environment)」からの調査が、実際どのようなものだったのか、ハニーポットの視点で見てみたいと思います。

 

 

 

総務省のIoT機器調査とは

総務省のIoT機器調査

ネット上でさんざん話題になっていますので、今更かと思いますが、まずは総務省のIoT機器調査についておさらいしておきます。

近年、IoT機器※を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。
総務省及びNICTは、インターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE(National Operation Towards IoT Clean Environment)」を平成31年2月20日(水)から実施します。

https://www.nict.go.jp/press/2019/02/01-1.html

 

まず、「NOTICE」の目的は、「サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う」としています。具体的にどうするかというと、

NICTは、平成31年2月20日(水)からインターネット上のIoT機器に、容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査し、当該機器の情報をインターネットプロバイダへ通知します。インターネットプロバイダは、当該機器の利用者を特定し、注意喚起を実施します。

と、あるように、実際に容易に推測されるパスワードを入力して、入れるかチェックするということのようですね。さらに、

上記調査は、IoT機器に設定されているパスワードが容易に推測されるもの(「password」や「123456」など)かどうかを確認するものであり、機器の内部に侵入したり、通信の秘密を侵害することはありません。また、調査によって得られた情報については、総務大臣が認可したNICTの実施計画に基づき、厳格な安全管理措置を講じることとしています。

 と、していますので、機器の内部に侵入することはないということのようです。

ネットでの批判と私の意見

ネットで様々な議論が交わされているのは、主にこの部分ですね。

「本当に入り込んで悪さすることはないのか」

これに限ると思います。

 

ちなみに、「国が勝手に不正アクセスするのか」という意見もあるようですね。「国が1件1件家に鍵がかかっているかガチャガチャやりに来るのか」などなど、似たような批判を見かけたことがあります。

私の意見は「国が防犯のためにやってくれるのであれば、別にいいじゃないか」というものです。ハニーポットで観測すると、1日数十万件の攻撃があることが分かります。こいつらは、悪意をもった本物の攻撃です。この事実を知らない人でも、安心してインターネットを活用できるような環境にするには、やはり信頼できるところから、きちんと案内を発信するのが重要だと思っています。

ただ、「NOTICE」を語った詐欺には十分に気を付けたいところですね。もっと積極的に広報活動を行って、危険な環境が見つかった場合に、どこから、どのような手段で通知されるのかを伝えなければならないかと思います。

 

「NOTICE」で使用されるIPアドレス

すでに、「NOTICE」の調査で使用されるIPアドレスは以下の通り公表されています。

○ NOTICEの調査に使用するIPアドレス 
・150.249.227.160/28
・153.231.215.8/29
・153.231.216.176/29
・153.231.216.184/29
・153.231.216.216/29
・153.231.226.160/29
・153.231.226.168/29
・153.231.227.192/29 
・153.231.227.208/29
・153.231.227.216/29
・153.231.227.224/29 

https://www.nict.go.jp/info/topics/2019/02/13-2.html

これらのIPアドレスは、「NOTICE」による調査であるということですね。

 

ハニーポットの状況

【調査件数】 

f:id:tk-secu:20190223223932p:plain

私のハニーポットには、2月20日に6件の調査が入っていました。
使用されたIPアドレスは2つで、それぞれ、Cowrieに5回(Port:22 or Port:23)、Tannerに1回(Port:80)、調査が行われています。

 

【調査IDと調査パスワード】

今回調査されたログインIDとパスワードは、以下の通りです。

 

調査されたログインID「 」

調査されたパスワード「 」 

安易も何も、ブランクで入ろうとしていましたね。

まだ始まったばかりで、いつ終わるのかわかりませんが、現時点ではまだまだ有効な調査とは言えなさそうです。

 

また、時期をみて調査してみたいと思います。