総務省所管の情報通信研究機構が、全国のルーターやウェブカメラなどのIoT機器を対象に、外部から侵入を試み、セキュリティのぜい弱性をチェックするというものだが、インターネットユーザーからは「プライバシーの侵害では」など、疑問の声が上がっている。
実際にはどのような調査が行われるのだろうか。
総務省によると、調査は、2020年東京オリンピック・パラリンピックを見据え「サイバー攻撃に悪用される恐れがある機器を見つけ、注意喚起すること」が目的で、2月から2024年3月までの実施を予定している。
調査では、まず国内の約2億個のグローバルIPアドレスにアクセス。このうち、IDやパスワードなどのセキュリティ情報が求められた場合に、過去の大規模サイバー攻撃で使われるなどしたIDとパスワードの組み合わせ約100通りを入力して侵入を試みるという。
具体的には、「aaaa」「5555」などの同一英数字や、「abcd」「123123」などの連続した英数字のほか、初期設定で使われている英数字などが入力される。
調査に使われる発信元IPアドレスは総務省ウェブサイトで公開(http://www.soumu.go.jp/main_content/000595925.pdf)されている。
接続が認証されると、そのIPアドレスと認証日時が電気通信事業者(プロバイダ)に共有され、ユーザーの元にセキュリティ情報の再設定などを求める注意喚起が届くという流れだ。
本来なら、他人のIDやパスワードなどを利用し侵入を試みる行為は不正アクセス禁止法に違反する。だが総務省では昨年3月、特例的に今回の調査を認める、情報通信研究機構法の改正法案を国会に提出、同11月に施行していた。
国が市民のIoT機器にアクセスするという調査は異例で、「プライバシーの侵害では」などの声も聞かれる。
