NOTICE -National Operation Towards IoT Clean Environment

ABOUT NOTICE NOTICEについて

NOTICEは、総務省、国立研究開発法人情報通信研究機構(NICT)及びインターネットプロバイダが連携し、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組です。

IoT device, Cyber Security IoT機器とサイバーセキュリティ

IoT機器とは

近年、技術の進展によりあらゆるものがインターネットに繋がるようになり、全世界で300億を超えるIoT機器が存在するとされています。センサーやウェブカメラなどのIoT機器は、機器の性能が限定されている、管理が行き届きにくい、ライフサイクルが長いなど、サイバー攻撃に狙われやすい特徴を持っています。

IoT機器を狙ったサイバー攻撃とは

IoT機器が普及する一方、IoT機器を狙ったサイバー攻撃も増加しています。日本国内で観測されるサイバー攻撃通信のうち、IoT機器を狙ったものは2017年に約54%と過半数を占め、その割合は増加しています。

セキュリティ対策に不備があるIoT機器は、マルウェアに感染しサイバー攻撃に悪用されるおそれがあります。諸外国においては、IoT機器を悪用した大規模なサイバー攻撃(DDoS攻撃)によりインターネットに障害が生じるなど、深刻な被害が発生していることから、我が国においても2020年オリンピック・パラリンピック東京大会などを控え、対策の必要性が高まっています。

安心・安全にIoT機器を利用するためには

IoT機器を悪用するなどのサイバー攻撃を未然に防ぐためには、次の対策を講じる必要があります。

  • IoT機器のパスワードは初期設定のものを使わず、複雑なものに変更するなど適切な設定を行う
  • IoT機器のファームウェアは常に最新のものにする
  • 使用していないIoT機器はインターネットに接続しない(又は電源を切る)

ACTIVITIES NOTICEの取り組み

取り組みイメージ 取り組みイメージ

DEVICE RESEARCH機器調査

NICTは、インターネット上のIoT機器に容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査し、当該機器の情報をインターネットプロバイダに通知します。

RAISE CAUTION注意喚起

インターネットプロバイダは、NICTから受け取った情報を元に当該機器の利用者を特定し、電子メールなどにより注意喚起を行います。

CHANGE SETTINGS設定変更等

注意喚起を受けた利用者は、注意喚起メールやNOTICEサポートセンターサイトの説明などに従い、パスワード設定の変更、ファームウェアの更新など適切なセキュリティ対策を行っていただくようお願いします。これにより、サイバー攻撃を未然に防ぐことが可能となります。

USER SUPPORTユーザサポート

総務省が設置するNOTICEサポートセンターは、利用者からの電話、WEBサイトからのお問合せに応じ、適切なセキュリティ対策をご案内します。

NOTICEサポートセンター

フリーコール
0120-769-318(無料・固定電話のみ)
03-4346-3318(有料)
受付時間
平日10:00~18:00
WEBサイトは、今後対応予定

※利用者への注意喚起は、ユーザが契約するインターネットプロバイダ以外からは行いません。インターネットプロバイダからの注意喚起や、NOTICEサポートセンターでの案内にあたり、費用の請求や、設定しているパスワードを聞き出すことは絶対にありません。ご不明、ご不安な点があれば、NOTICEサポートセンターへお問い合せください。

FAQ よくあるご質問

  1. 本調査の根拠は何か

    平成30年5月に改正された国立研究開発法人情報通信研究機構法(NICT法)に基づき、国立研究開発法人情報通信研究機構(NICT)は、インターネット上のIoT機器に容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を特定します。NICT法において、NICTはこの調査を行うにあたり実施計画を作成し総務大臣の認可を受けることとされています。

  2. 調査はどのように実施するのか

    日本国内のグローバルIPアドレス※1(IPv4)によりインターネット上で外部からアクセスできるIoT機器に対し、ID・パスワードを入力することができる機器であるかを確認※2し、これらの機器に容易に推測されるID・パスワードを入力することにより、サイバー攻撃に悪用されるおそれのある機器を特定します。
    ※1)約2億存在します。 (※2)「ポートスキャン」といいます。

    なお、パスワード無しで外部から制御可能な機器についても、サイバー攻撃に悪用されるおそれのある機器として特定する場合があります。

    調査は、プログラムを用いて自動的に行います。

    入力するID・パスワードは、NICTの実施計画に記載されている約100通りです。

    入力するID・パスワードの例

    これまでサイバー攻撃のために用いられたもの
    ID パスワード
    admin admin
    admin1 password
    root user
    root default
    supervisor supervisor
    同一の文字、連続した番号など
    ID パスワード
    admin 111111
    root 123456
    root 666666
    root 54321
    888888 888888
  3. 調査の対象となる機器はどのようなものか

    グローバルIPアドレス(IPv4)によりインターネット上で外部からアクセスできるIoT機器であり、具体的には、ルータ、ウェブカメラ、センサーなどです。

  4. このような調査は不正アクセス行為ではないのか

    ポートスキャンは不正アクセス禁止法で禁止されている不正アクセス行為ではありません。

    NICTが実施計画に基づき、容易に推測されるID、パスワードを外部から入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定することは、昨年改正されたNICT法において、不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。 )NICT法附則第8条第7項に規定

  5. 本調査は通信の秘密を侵害しないのか

    NICTが行う調査は、容易に推測可能なパスワードを外部から入力することなどによりサイバー攻撃に悪用されるおそれのある機器であるかを確認するものであり、当該機器と第三者との間の通信の内容等を知得、窃用又は漏えいするものではないため、通信の秘密の侵害には該当しません。

  6. 調査においてどのような情報を取得、記録するのか。

    ポートスキャンでは、機種特定のためにバナー情報(機器自身が公開しているサービスの種類やバージョンなどを知らせるメッセージ)を取得し、IPアドレス、タイムスタンプ、ポート番号とともに記録します。

    ID、パスワードを入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定する際には、機種特定のための情報を取得し、IPアドレス、タイムスタンプ、ポート番号、ID・パスワードとともに記録します。

    これらの調査は、プログラムを用いて自動的に行います。

  7. 記録した情報の保管や取扱はどのようになされるのか

    NICTにおいては、政府で最も機密性の高い情報に求められる措置と同等の厳格な安全管理措置を講じています。例えば、情報を取扱う区域では生体認証を含む多要素認証により入退室を管理し、情報を取扱うサーバは、侵入検知システムやファイアウォール等により外部からの接続ができないようにする、アクセスできる職員を限定しアクセス制御機能を導入する、そのログを監視するなどの措置を講じています。

  8. 上記のルールに違反した場合はどうなるのか

    NICT職員による情報の漏えい等は、NICT法第12条の秘密保持義務違反となり罰則の対象となるほか、実施計画に定める範囲を超えて特定アクセス行為を行った場合等は、不正アクセス禁止法違反となり罰則の対象となります。

  9. 利用者はどのように特定されるのか

    インターネットプロバイダはNICTから受け取った情報(注意喚起の対象となるIoT機器のIPアドレス、タイムスタンプ)を元に、対象機器の利用者を特定します。

  10. 利用者にはどのような方法で注意喚起が行われるのか。

    ご契約のインターネットプロバイダから、電子メールなどによる注意喚起が行われます。

  11. 本取組で得られた結果は公表するのか

    我が国のサイバーセキュリティ確保の観点にも留意しつつ、本取組の実施状況を取りまとめ、公表することを予定しています。

  12. 本取組の実施についてどのように周知するのか

    本取組の実施については、総務省、本取組に参加するインターネットプロバイダから報道発表などにより周知を行っています。また、公共交通機関、家電量販店でのポスター掲示、新聞広告等による周知も行っています。

ポスター

NOTICEの周知広報について

IoT機器のセキュリティ対策の必要性、NOTICEの内容の広報のため、新聞広告や、公共機関や家電量販店でのポスター掲示といった周知広報活動を行います。