総務省が明かす危機感　狙われる“低セキュリティ”のルーター、実は家庭より企業に多い理由：徳丸浩氏×総務省サイバーセキュリティ統括官室　特別対談【後編】

総務省主導のIoT機器向けセキュリティチェック「NOTICE」開始から1年、民間のセキュリティは、一体国からどう見えているのか――。セキュリティ専門家の徳丸浩氏と総務省サイバーセキュリティ統括官室の赤阪晋介氏による対談。後編では、NOTICEの結果から見えた日本企業の“危うい現実”と、取り組みの今後について詳しく聞いた。

　多くの組織がクラウドを活用し、より多くの情報がネットワークを飛び交う中、懸念されるのがセキュリティのリスクだ。そんな中、総務省は2019年から国内のIoT機器の脆弱（ぜいじゃく）性をチェックする取り組み「NOTICE」を進めている。他国にも例がないというこの取り組みは、国内のサイバーセキュリティに一体どのような光を当てようというのか。

　EGセキュアソリューションズの代表取締役であり、セキュリティ専門家として積極的に意見を発信している徳丸浩氏と、総務省のサイバーセキュリティ戦略を手掛ける赤阪晋介サイバーセキュリティ統括官付参事官の対談をお送りする本連載。NOTICEが始まったそもそものきっかけや実際の取り組み内容を聞いた前編に引き続き、後編ではNOTICEから明らかになった意外な結果や日本のセキュリティの現状、今後の取り組みについて聞いていく。

対談に参加したEGセキュアソリューションズの徳丸浩代表取締役（左）と、総務省の赤阪晋介サイバーセキュリティ統括官付参事官（右）

実際にNOTICEで「注意喚起」された機器は、どれくらいあったのか

徳丸：　2019年2月にNOTICEを開始してからほぼ1年が経過しました。どんな結果が得られましたか？

赤阪：　先日報道発表した通りですが、今、インターネットサービスプロバイダー（ISP）41社に協力いただいて、約1.1億個のIPアドレスについて調査を行っています。日本国内の商用ISPで使われているIPアドレスが全部で1.2億個と推定していますから、もう少しで全体をカバーできると思います。

EGセキュアソリューションズの徳丸浩氏

徳丸：　ISPによって取り組みに温度差はあるのでしょうか？

赤阪：　やはりICT-ISACに加盟しているISPは、取り組みが早いですね。またケーブルテレビ系ISPについても、ケーブルテレビ連盟を通じて連携し、協力いただいています。

　さて、2019年第3四半期までの結果ですが、ポートが開いていて管理画面がインターネットにさらされており、IDとパスワードを入力できる状態にあるデバイスが約11万1000件ありました。そして、これらのうち実際にマルウェア「Mirai」やその亜種が使っている100種類のパスワードを入力するとログインできる状態のものがのべ1328件ありました。

徳丸：　直感的には意外と少ないように思いました。もっと多いのかなと思っていたのですが……。

赤阪：　全世界規模で約10万台の機器がMiraiに感染したといわれています。その数字と比べると、確かに思ったよりも少ないかもしれません。

　もう1つ、情報通信研究機構（NICT）が、専用センサーの「NICTER」で観測しているダークネットに対するパケットの送信元IPアドレスを元に、恐らくマルウェアに感染しているだろうと推測できるIPアドレスに対しても注意喚起しました。NICTERは約30万個の未使用IPアドレスを観測しているのですが、日々変動があり、1日当たり60件から多い日で598件ものマルウェア感染が観測されました。Miraiの亜種が流行した2019年8〜10月にかけては少し増加がありました。数字だけで評価するのはなかなか難しいのですが、長いスパンで見ると、インシデントの多かった2016〜2017年に比べると減少していると思います。

家庭向けルーターの安全性を上げた“ある取り組み”

総務省の赤阪晋介氏

徳丸：　興味深い数字ですね。どうして減少したんでしょうか。

赤阪：　これと断言できるわけではありませんが、理由の1つとして、最近日本国内で販売されている個人用ルーターでは、最初から余計なポートは閉じていたり、固有のIDとパスワードが割り振られていたり、ファームウェアの自動更新機能を備えていたりといった取り組みが徹底されており、かなりの割合でMiraiのようなマルウェアを防げるのです。ルーターメーカーなどが加わる一般社団法人デジタルライフ推進協会（DLPA）は、Wi-Fiルーター利用時におけるセキュリティ提言を公表し、新しい機器ならば安心して使えることを訴えています。こうした最新の機器の普及によって、注意喚起の数が減っているといえるかもしれません。

　そういう意味では、個人向けの機器はほとんどNOTICEでの検査に引っ掛かってきません。実は、NOTICEの注意喚起の対象となっているものは、ほとんどが法人向けのルーターなんです。法人向けルーターは、外部からコントロール、管理する必要に迫られ、ポートを開けて使っているケースもあると思います。そこで弱いパスワードのまま使っている機器が、NOTICEの調査に引っ掛かるという状況と推測しています。

徳丸：　面白いですね。むしろ家庭用ルーターの方がセキュアで、外から安易にログインできない状況だったということですね。

赤阪：　もちろん、家庭用ルーターでも古い機器を使い続けていたり、ちょっと詳しい方が自分でポート設定を変更したりして公開している場合もあるでしょう。けれども家庭用ルーターについて言えば、デフォルトのままで使っても比較的安心できる環境が整いつつあるかなと思います。加えて、2020年4月には技術基準適合認定の改正が予定されています。

徳丸：　いわゆる「技適」マークですね。

赤阪：　はい。インターネットに直接つながるIoT機器については、「アクセス制御機能をつける」「パスワードはデフォルトのものから変更を促す」「ソフトウェアパッチが当たるようにする」といったセキュリティ要件を満たさないといけません。

徳丸：　先ほどのDLPAの取り組みは、こういった要件を先取りしていたわけですね。

赤阪：　はい。こうした民間の取り組みと、国としての最低限の要件、その両方が相まって、これからより安全な機器が普及することを期待しています。ひいては、「日本メーカーの出すものならば安心だ」とアピールしていけるようになるといいなと思っています。とはいえ、IoT機器の中には寿命が長いものもあるので、すでに設置され、使われているものについてはNOTICEやNICTERのような仕組みでチェックし、観測していくことが必要だと思っています。

徳丸：　Miraiが拡散した当時、ロジテックのルーターに存在した脆弱性も問題になりました。これに関してTwitterで「なんで自動アップデートしないんだろう」とつぶやいたら、「いやいや、アップデートなんてしたらルーターが動かなくなって、ただの文鎮になっちゃうのでできませんよ」という意見をいただいたことがありましたが、感慨深いですね。自動アップデートが実装される方向に向かっているのはとてもいいことだと思います。

日本企業の“危うい現実”　ベンダーやSIerへの丸投げ体質が生む闇とは

徳丸：　NOTICEで通知を受けたユーザーさんがどう対応したかは分かりますか？