80■概要NICTは、IoT機器のサイバーセキュリティ対策に貢献するため、サイバーセキュリティ戦略等の政府の方針を踏まえ、機構法附則第8条第2項の規定に基づき、NICTの有する技術的知見を活用して、日本国内に存在するパスワード設定等に不備のあるIoT機器の調査及び電気通信事業者(インターネット・サービス・プロバイダ。以下「ISP」という。)への情報提供に関する業務を令和6年3月31日まで実施することとなっている。本業務を実施するナショナルサイバーオブザベーションセンターは、令和3年度より、第5期中長期計画に基づき、サイバーセキュリティ研究所の下で一体的に取り組むこととなった。令和3年度は、総務省や関係機関と連携しつつ調査業務を継続するとともに、調査対象プロトコルとして新たにHTTP/HTTPSに対する調査を実施した。■令和3年度の成果1.IoT機器調査及び利用者への注意喚起の取組(NOTICE)多種多様な機器がインターネットに接続し便利な機能が実現されるIoT(Internet of Thing:モノのインターネット)時代が到来している。IoT機器が社会に普及していく一方で、十分なセキュリティ対策が施されていないIoT機器を狙ったサイバー攻撃が社会問題となっている。特に、デフォルト設定等の容易に推測可能なID・パスワード設定のまま利用されているIoT機器(例えば、Webカメラやルーター、デジタルビデオレコーダー等)が不正プログラムに感染し、大規模なサイバー攻撃に悪用される事例が多発している。IoT機器等を悪用したサイバー攻撃の深刻化を踏まえ、NICTの業務に、パスワード設定等に不備のあるIoT機器の調査等を追加(5年間の時限措置)する国立研究開発法人情報通信研究機構法の改正が行われ、平成30年11月1日に施行された。NICTでは、同改正及び実施計画の認可に伴い、ナショナルサイバーオブザベーションセンターを平成31年1月25日に設置し、総務省、NICT及びISPの連携の下、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE(National Operation Towards IoT Clean Environment)」を平成31年2月20日より開始した。2.調査の流れNOTICEプロジェクトにおけるNICTの役割は、日本国内に存在するサイバー攻撃に悪用されるおそれのあるIoT機器を発見し、当該機器の情報をISPへと通知することである。具体的には図1に示す流れで調査を実施している。以下、主要な調査手順について説明する。(1)ポートスキャン日本国内のグローバルIPアドレス(IPv4かつNOTICEに参加しているISPが利用するアドレスに限定)を対象として、複数の宛先ポート番号に対して通信を行い反応が返ってくるかを確認する。ポートスキャンでは、大量のIPアドレスに対して通信を行う必要があるため、オープンソースソフトウェアの高速スキャンツールであるMASSCANを用いている。(2)バナー収集ポートスキャン調査によって応答が得られたIPアドレス・ポート番号に対して実際にリクエスト等を送信し、機器からの応答(バナー)を収集する。収集されたバナーを分析することで、当該IPアドレス・ポート番号で稼働する機器が何の機器なのか判定したり、特定アクセスの対象となるID・パスワードによる認証要求を返す機器かを確認したりすることができる。バナー収集対象数はポートスキャン対象数に対して2桁のオーダーで少なくなるため、バナー収集では高速性よりも安定性と拡張性を考慮してオープンソースソフトウェアのZgrab 2.0を用いている。(3)特定アクセスID・パスワードによる認証要求のあった機器に対し、実際に容易に推測可能なID・パスワードを用いてログインを試みる行為を「特定アクセス行為」と呼ぶ。バナー収集の結果、NOTICEの調査対象プロトコルが動作しておりID・パスワードによる認証要求のあった機器に対して特定アクセス行為を行い、特定アクセスに成功する機器(=サイバー攻撃に悪用されるおそれのある機器)であるか確認する。特定アクセスに用いるプログラムはNICTで開発したものである。(4)ISPへの通知特定アクセスに成功した機器について、当該機器への通信の送信元IPアドレス、送信先IPアドレス、通信日時(タイムスタンプ)等の情報を内容とする通信履歴等の3.3.5ナショナルサイバーオブザベーションセンターセンター長(兼務) 盛合 志帆
元のページ ../index.html#88