危ない橋、渡るべからず～NOTICEの観測結果から考えるIoT機器の買い換えについて

はじめに

このブログを書いている時に阪神淡路大震災から29年経過しました。そして今年になって能登半島地震で大きな被害が出ました。犠牲となられた方々に、謹んでお悔やみを申し上げますとともに、被災されました皆様に心からお見舞い申し上げます。被災地では余震が続き、不安な日々が続いていることと存じますが、皆様の安全と一日も早い復興を心よりお祈り申し上げます。

ということで

デジタルペンテスト部の木田です。

NICT法

始めるときにネットで業火の如く燃えたNICT法によるNOTICE調査ですが、結局の所、注意喚起の対象が減っていない事実となっています。次の章で出てくる図はNOTICEの報告サイトで閲覧する事のできる図です。ちなみにNICTとは、エヌ・アイ・シー・ティーと呼ぶそうです。正式な日本語名称は、国立研究開発法人情報通信研究機構だそうです。英語でNational Institure of Information and Communications Technologyの各語句の頭文字を取ってNICTという略称。安心してください。試験問題で出てくる事はないと思います。

ネットワークの定点観測結果

2023年11月度におけるNOTICEの実施状況
https://notice.go.jp/docs/status202311.pdf

上の図はNOTICEの不定期に更新されるNOTICEの観測結果となります。この図は2023年11月のものです。
右のNICTERがダークネットから検出したマルウェアに感染したIoT機器数。今回は無視してください。というのも、この図とNOTICEの検知した図との相関性については検証されているとは言い難く、あくまでもNOTIICEで検知した設定が成っていないIoT機器と、NICTERがダークネットを漁ったら出てきたマルウェアに感染したIoT機器はイコール同じ物、とは言い切れないと考えられます。

左のNOTICEが検知した危ない画面とともにユーザ名、パスワードがデフォルトのままのIoT機器の発見数。右はNICTが独自に観測したダークネットのデータを元に何らかのIoTマルウェアに感染したIoT機器の数。ここで注意して欲しいのは相互のデータに相関性はありません。あくまでも偶然に時系列で並べたらそうなった。だけです。NICT法の中でNOTICEに関し相関を得るようなデータを機器から採取するというのは電気通信事業法等に接触する事となります。国家公安委員会と警視庁に囲まれた総務省がそこまで無茶振りをするとは思いにくく。「ここからどうすんべぇ」というのが総務省の本音として、この図が掲示されていると考えられます。

ルーター買い換え大作戦

動機

この図から察するにNOTICEの役割は果たしたとは言い難く、「だからダークネットから大量にIoTマルウェアに感染したIoT機器が釣れるんだ」の結論づけに持って行くと同時に、草の根レベルで食い止めるべく努力が少し必要に思えます。

警視庁による家庭用ルーターの不正利用に関する注意喚起についてのリーフレットデータより。
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/notes/router.html

上の図は警視庁が中心となって各都道府県警がSNS等で発信しているルーターの設定方法です。ルーター、気づかぬうちに姿を変え、どんな家庭でもインターネットを使っているなら必ず置いてあるものです。これを見直せというのですが、幾つか気になる点があります。
消費者目線でいうと古くなってサポートされなくなったルーターは買い換えましょう。
ちょっと待ってください。サポート切れたって通知来るんですか？
車だとディーラーの点検で、「いやー、今度の法規制でこの車走れなくなっちゃいますよ。まだ、ビンビンなのに」という会話で、「そっか、そこは買い換えだよな」となります。ルーターってそうなの？いやいや、だって保証書のユーザー登録すらしていないのが多いのに「サポート切れですよ」なんて教えてくれるわけもない。寧ろ、機械的に止めたらクレームの嵐ですよね。プロバイダのサポートセンターが悲鳴あげてしまいます。

先立つものはお金

買い換えるといえば、何が良いかは販売代理店に聞けば良いとして（本当かは別）、先立つものはお金です。お金。日本という国、先立つものとしてお金がないと何も出来ません。買い換えてくれ。うん、判った。お金下さい。当然の話です。
ルーターとは関係ありませんが、いっとき、マイナンバーポイントが貰えるとかありました。そのポイント、ルーターの買い換え費用として宛てて貰えませんか？。日本の国防の一環で一般市民のルーターが買い換えられる事によって、その一助になる。なんて素晴らしい。と思ったのですが、予算編成、管理、すごい大変ですよね。やらなくて良いひとまでやって申請されてもポイントの支払い対象になるので、中央合同庁舎の電気が深夜まで消えなくなってしまいます。とはいえ、いとも簡単に攻撃されて餌食になるルーターを使っている事によって警察に何らかの容疑で逮捕される可能性を考えるとルーターの買い換えはまずやるべきかと思います。そうですね。お父さんの飲み代、一ヶ月我慢かな？。

それってどうよ

次に、見覚えの無いアカウントの登録や設定が行われていないか確認しましょう。
これ、すみません。説明書は日本語で書いてあるのですが、カタカナと専門用語で、正しい日本語として理解できないのですが。アイピーテーブルってんですか。これ、何の意味で何の為に付いているんですかね。といった事から始まり、アイピーオーイーって、何？という物になりそして、全然繋がらなくて、前の古いのが一番良いんだけど。となりかねません。実際、それなりの専門家が使っても、「え、これ、思ったのと動き違うんだけど」というのがあり、「だったら、あの機材つなげた方が作業効率よくない？」となるので人の事言えたものではありません。

いわゆるIT業界に入社したときに担当だった新入社員研修の講師が言ってました「プロにでもアマにでも通じる言葉で説明するのが、君たちの仕事です。片方にしか通じない事を話して通じたといった。それはプロの仕事ではありません」。はい。そのとおりです。未だ肝に銘じてます。特にお金の決裁権に近い人に話をするときにはお金を預かる人に判るような説明が求められます。つまり末端にプロで無い方がいて、その方に何ホップか通して話しても通じる必要があるのです。

いや、シンプルに考えません？

もう、どんなオジさんやオバちゃん、ご近所の皆さんに判る表現に直しましょう。ここで言いたいのは、「我々が要求していないのにパケットを送ってくるサイトは無視する」という設定にしましょう。これが本質的に重要な事です。要求していないパケットに対して応答して、そのまま動作してしまうのは問題です。つまり、知らない人の言うことを黙って聞いてしまう。疑いもなく知らない人の言いなりになるという事です。何の前触れもなく、「財布をよこせ」と言われれば「No」の筈です。しかし世の中、物騒になっており、「No」だなんて余計な事言った次に刺されるかもしれません。刺されなくても怪我を負わされるかもしれません。なので反応しないのが正しいのです。実際に人として対峙したら「逃げる」が最適な解だと思います。「逃げろ」と言いましたが、「逃げろ」は正解です。つまり、今、まさに攻撃されているのですから、回線の接続を一旦止めて嵐が通り過ぎるのを待つのも大事です。流石に施錠がしっかりされていて何の応答もない母屋に入れるわけもなく、攻撃者は諦めるでしょう。ほとぼりが冷めたと判断するのは難しい話ですが、そう判断したときに改めて回線に接続しインターネットに接続しつつルーターの設定をする。それで良いのではないかと考えます。
インターネットでは、あくまでも送信者への適切な応答で成り立っています。