【IT】総務省、IoT機器が不正に操作される恐れがないか全て調査へ　国内に数億台か [無断転載禁止]©2ch.net ->画像>1枚

ＩｏＴ機器、すべて調査へ　総務省、国内に数億台か

　総務省は５日、国内に数億台あるとみられるインターネットにつながる「ＩｏＴ機器」全てについて、外部から不正に操作されるおそれがないかを調査すると発表した。

　「ＩｏＴ機器」は、ネットにつながって情報をやりとりする装置の総称。スマートフォン、対応機能が付いた家電、監視カメラ、ダムの水量計、遠隔操作できる工場の機械など様々だ。重要なインフラに関わる機器がハッカーに乗っ取られると、深刻なテロにつながりかねない。

　総務省は専門的な技術を持つ業界団体の「ＩＣＴ―ＩＳＡＣ（アイシーティーアイザック）」や横浜国立大の協力を得て、国内で動作している全てのＩｏＴ機器に接続を試みる。管理者用の画面が簡単に表示されてしまうなど、外部から不正に操作されるおそれがある機器を見つけた場合は、所有者に連絡して対策を促す。遅くとも年度内に調査を終える予定だ。

　米国では昨年１０月、セキュリティーが不十分だった約１０万台のＩｏＴ機器がハッカーに乗っ取られ、ネット企業へのサイバー攻撃に使われた。あおりで通販大手のアマゾンやＳＮＳのツイッターが利用できなくなるなど、米国全体に大きな影響が出た。

　総務省の木村公彦・サイバーセキュリティ課長は「重要インフラに関係するＩｏＴ機器が攻撃を受けると影響は極めて大きい。早急に調査して注意を促す必要がある」としている。（上栗崇）

朝日新聞DIGITAL 2017年9月6日23時14分
http://www.asahi.com/articles/ASK954R4NK95ULFA007.html?iref=sp_new_news_list_n

いちいち調べるなよ。対策してるに決まってるじゃん

>>2
ほんまこれやな！
調べるなや！金の無駄やろ！

寄生虫ゴキブリ公務員のッ！！
青天井時間外手当ボーナスステージｗｗｗｗ
はっじまっるよーーーーーーーー！！！！！

ｗｗｗｗｗｗ


時間外手当を給与とほぼ同額受け取り、昨年度の　★年収が1500万円超★　に達する40代のさいたま市職員がいることが分かった。
この職員を含めて、年間1000時間以上も残業した職員が80人ほどもいたという。
さいたま市の職員課では、この職員が震災対応に追われていたことが大きいと説明した。
ゴミ収集などの現業ではなく、一般事務をしていたというが、


　＜＜　具体的な業務の内容などについては、個人情報保護のため答えられない　＞＞　という。


ところが、震災前だった2010年度について確認すると、このときも年収1500万円を超えていた職員がいたことが発覚した。
同一職員ではないものの、同じ課長補佐級の男性で、1年間で1843時間の時間外勤務をし、747万円もの手当を支給されていた。
この職員の年間給与は781万円のため、合計の年収は1528万円に上る。

>所有者に連絡して対策を促す

連絡してもその連絡がハッカー扱いされそうな

北朝鮮のミサイルはウクライナ製
ウクライナはヒラリー国際金融軍産CIAモサドが操っている、
安倍日本会議カルトのバックもヒラリー一味。
全部繋がっている自作自演なんだけど
ヒラリー一味はトランプを引き釣り下ろしたくて必死なので北朝鮮使ってトランプへの嫌がらせをしている、
トランプがキレて戦争になれば金儲けできるしヒラリー一味が主導権を握れるので都合がいい
そして習近平に追い詰められて完全没落した江沢民派が昔から北朝鮮を支援していたもう一つの黒幕
江沢民派は石油利権を持っていてヒラリー国際金融軍産CIAモサドともともと繋がっている
北のミサイル発射日がちょうど習近平の大事な会議などの日と符合して習近平への嫌がらせになっているとの分析もある
カリアゲはヒラリー一味と江沢民派におだてられて調子に乗ってるだけで戦争する気はないが
ヒラリー一味も江沢民派も国内での権力闘争に負けて追い詰められているので戦争起して一発逆転したい
ミサイルをコントロールしてるのはウクライナ技術者（ヒラリー一味）なので
カリアゲの意に反してヒラリー一味が勝手に日本に撃ち込んで戦争に誘導する可能性高い

誰もいないトイレでウォシュレット動き出して水浸しになるってことか

よくわからないけどヤバそう…って記事
ちょっとは勉強してから書けよ〜

理系がイタチごっこしても終わりがないんだよ。文系が解決しないといけないんだよ。

心配ない
たくさんある裏口にもちゃんと鍵かかってるから

この調査と連絡を装った詐欺やハッキングが流行りそう

予算ゲットやね♪

馬鹿だな

今後IoT機器が爆発的に増えて行きますから、このように人海戦術でチェックしなくても良いように
セキュリティチェックを行うオンボードのROMチップが大きな市場になると言われていますよね。

「インテル、入ってる」的な。

>>2
だよなどんな物だって外部に繋がってたら乗っ取れるようにハッカーは対策考えるよな

これ、メーカーが死ぬかも

サポートをさっさと打ち切ってコスト削減とか言う愚行に引導が渡される
スマホはもちろん、ルータとかもかなり無責任だから

Windows並みに10年たってもサポート継続なんて要求されたら、日本の無責任企業は全滅

中国製のワイヤレスIPカメラは漏れなくヤバイ。

まずアイロンの全数検査だな

こうやって日本のITは世界から取り残されていくんだな

国の認証を新たに作って認証通らないと販売禁止するらしいが
その認証とやらはハッキングを100%防げる素晴らしいものなのか？

認証は単なる利権と参入障壁

>>20
まじか。
またガラパゴスかよ。

【IT】北朝鮮ハッカーが韓国のＡＴＭをハッキング　日本国内でも被害　２３回現金引き出し[09/06]©2ch.net
http://lavender.2ch.net/test/read.cgi/news4plus/1504698089/

日本にそんな事を調べる技術力無いよね

片っ端からポートスキャンでもするつもりか？
IPAのIoT設計指針を啓蒙したほうがまだ効果あると思うが。

日本なら設計図とソースコード提出を義務付けても見つけられないだろうね

>>16
逆だろ
サポート期限が短くなって
サポート終了後は全く責任持たないから買い換えてね、ってなる

スーパーハッカーの幻影に怯える日々ｗ

いちいち調査するより基準を決めてそれをクリアするように指導した方がいいんじゃないの

IPv6でつないである奴にfirewallは作らないのが普通だし、通信が暗号化されているかも疑問。
IPv4より危険な時代になったよ。

だいたいIoT機器単体でセキュリティ保つのは無理だろ

むしろ全国の家庭用ルータの設定調べた方がいいんじゃね？

もうユビキタスって言うの止めたの？

余計なことすんなよ
問い合わせが増えるだろうが！

>>32
ちょっとニュアンス違うだろ

繋ぐ必要のない機器までネットに繋いでハッキングのリスクを高めるとか愚の骨頂だよな

今のIoTは社内用途がほとんどだけど、これからはBtoC、BtoBでの活用が広まってオープンになってくからセキュリティ問題はより深刻になるよ

>>16
現在進んでいるアプローチでは基盤に専門メーカーのチップを乗せるだけですよ(;^_^A
BIOSのROMに近いものだと考えれば分かり易いでしょう。

すでにそうしたスタートアップが幾つも立ち上がっていると聞きます。

選挙の武蔵なんとかしろよw

また余計なことして早苗居なくなっても意味ないし
総務完了が悪いのか

バカじゃねーの
いいかげんにしろよ

冷蔵庫とか電子レンジとか
インターネット接続機能あっても
全く役に立たないクズ機能ばかりでリスクしかない
インターネット機能と言いたいだけ

エアコンは帰宅前にonにしたりするメリットはあるな

AVアンプはファームウェアアップデートのみ

つーかIoT機器といわれるものの多くは
セキュリティリスク承知の上で初期設定簡単にするためにUPnPを使ってるので
調査するまでもないだろ

直近では下記のスタートアップがICOで資金調達中ですね。

Rivet
https://rivetzintl.com/

これも先ほど紹介したハードウェアの構成やソフトウェアの改竄などを監視するROMを
機器の基盤に搭載する方式です。

>>37
それどういう機能のチップなの？

どうせやるったってザル調査だろ
クリティカルなところで使う機器は流石にちゃんとしてる前提で考えてええやろ

Windows、Mac OS X、LinuxともどもCIAのバックドアが仕込んであると言う話

https://wikileaks.org/ciav7p1/

全てって凄いなと思ったが、
国内の全IPv4アドレスを叩いて一定のチェックをするだけか。
個人でもやってる人は多いだろうけど公式にやれるのは国くらいかな？

>>42
ブロックチェーン使って改竄防止できるのは解ったけど
普通に乗っ取られて操作されるのを防ぐようなものじゃないのでは？

対策を促し対策法を買わないか？という詐欺電話に気をつけましょう

日本人がバラバラにIoTのセキュリティで右往左往しているいっぽう
EUとアメリカはさっさと規格・標準化が進んでるw


結局日本は後追いで彼らに合わせさせられるだけ
もう敗北決定してる罠

>>17
あれ中国内でライブ映像観られてるんじゃねw

>>46
一定のチェックの内容が不明だな
ポートも全部叩くのか
叩くといっても何を送りつけるつもりか

>>43
詳細は例に挙げた>>42の白書に目を通して頂きたいのですが、
Rivetzの場合はカスタムLSIの概念に近くて、
Rivetzを基盤に埋め込むことで各メーカーが機種ごとにどういったチェックを行うか設定できるみたいです。

ハードウェアのヘルスチェックのみで良いとか、ソフトの改竄まで監視するとかです。

>>45
linuxは自分でソースからビルドすればいいだろ

>>53
カーネルやSystemDのソースコードは膨大な量なので、もはや誰にも安全かどうかチェックできない

>>47
そこは議論の余地がありそうでRivetzの場合はおそらく各メーカーのカスタマイズに委ねるのだと思いますね。
あくまで機器のヘルスチェックや監視のプラットフォームを提供するのでしょう。

IoT機器の場合、ハッキングも怖いですがその機器が正常に動作しているのかという点を監視するニーズもあります。

新しい天下り先の作成？

>>52
リンク先はざっくりは目を通した
ヘルスチェックやソフトウェア改竄が防げるのは重要だと思うのでこういうのを搭載するのは良いと思うが

パスワードリスト攻撃その他の方法での不正ログインによる不正操作は防げそうにない
偽アプリインストールや盗聴対策もこれは対象外ではないだろうか

先にやっておくことだろw

>>54
その理屈だとバックドアは発見できてねーんじゃないの？
ソースが膨大ゆえに。

発見できてるならソースが膨大でも自分で除去できるだろ

>>59
私はWikileaksで言及されるCIAのマルウェアの現物を知らないのでなんとも

>>57
TEE(Trusted Execution Enviroment)と謳っているので、
何をもってTrustedと判定するかはメーカーの設定次第ですがそこまで見ることが出来るんじゃないかと思いますね。

パスワードの件ですと秘密鍵自体をRivetzのROMに隠してしまうことで、
パスワードそのものを要求しない形態を目指しているようですし。

何れにしてもその機器と実行される内容がTrustedであると判定するためのもののようですから、
操作しているユーザーがTrustedであるかには主眼を置いていないのかも知れませんね。

ドトールコーヒーは悪の結社、創価学会の
一員だ
集団ストーカーを行なってる
エクセルシオールカフェ赤羽東口店(現在ドトールグループ サンメリー赤羽店)閉店は証拠隠滅
ドトールも創価も法的措置を取らないのは
事実だからです
当時のドトールコーヒー社長 17年4月左遷サンメリー社長へ
とうきょうときたくあかばねは
そうかのまち

　わたしはあなたのために、信仰が無くならないように祈った。

(新約聖書　『ルカによる福音書』22章32節から)
hyじゅっっっっっじゅっjhっy

ToT

ドメイン登録業者が一部のドメインを
1万個で年間1万円みたいな売り方してて
特に身分証明も必要でないので
使い捨てで悪用されているとおもう

>>61
TEEと言ってるのは実行「環境」が改竄されない事で、その上で走るアプリケーション層は保護できず、実行「内容」は保証されないものかと思います。

パスワードの部分はチップに秘密鍵を焼いても
そのハードへのアクセス者の本人確認の用途には合わないのでは？

チップに公開鍵を埋め込み、秘密鍵を持っているアクセス者のみを受け付けるのなら解りますが
これは認証局が必要なソリューションで
「チップを載せるだけでよい」とはならないと思います。

ただこのようなアプローチは万能でないというだけであって有益だと思います

インターネットファッキング

無駄無駄無駄無駄無駄

誰の指示だよ
普通とおらねえよこんな企画

>>61
これじゃダメだよ

セキュリティホールはシステム自体のバグに起因するものもあるから、ルータアプリの側をサンドボックスに乗っけても完全には防げない
この種のものはパソコンOSではずいぶん前から導入されているけど、OS自体のバグでセキュリティホールとなってアップデートするわけだし
結局はOSのアップデートに相当するサポートが必要になる

北朝鮮のEMPには勝てそう？

>>67
多分今、ネットセキュリティの管轄について
警察庁と総務省と内閣府と経済産業省で争ってるような状態

レベルは経済産業省が一番低いけど
政府認証基盤の糞さを見ると総務省もかなり酷い

内閣府はかなりマシだけど情報展開遅い
ISACより丸１日情報遅れる

警察は捜査はやるけどネット犯罪対策推進という意味ではやたらやる気がない
防犯意識が重要なんじゃないのか？
いつまで経ってもサイバー犯罪担当が生活安全局/生活安全部という時点で
質・量共に足りてない
警視庁の管理官もサイバーの専門ではない

内閣官房が一応中核になるはずだけど
全く連携取れてる感じがしないのが残念

リストの上から順にnmapかけるお仕事美味しそう

>>68
まあゼロか100か、という話ではなく
現状ではセキュリティ対策ほぼゼロのIoT機器も多いなかで、
少なくとも綺麗な実行環境を保証しやすい仕組みいれるのはいいんじゃない？

ブロックチェーンって事ならシステムファイルの置き換えや前後の脈絡から外れたシステムデータの改竄には強いだろう

脆弱性は見つかるだろうけど、脆弱性が発生しえないって事の方が想定しにくいわけだし

うちは自宅鯖立てて外から録画予約とエアコン操作ができるようにしてあるから
ハッキングされたらえらいことになる。

>>73
エアコンと録画予約くらいでは大したことは起きないのではないでしょうか？

>>73
偉いことといっても知らん間にエアコン付けられちゃうくらいだろ
鯖からエアコン爆発させられるわけでもないし

エロ動画貯めてるなら恥ずかしい事態は起こるかもしれんが

つーかさ、企業って普通に電子メール使ってるだろ
あれ平文じゃん
最近添付ファイルはパス付ける会社増えたけど
(ただしzipパスワードで数字4桁とか数秒で破られそうなのが多い)

本文は平文だから筒抜けになりやすいし
電子証明書つけるのも全く普及しないから
Fromだって詐称できまくり

こういうのも対策必要だと思うんだよな

今はLet's Encryptで無料でSSL/TSL証明書を発行してくれるから
鯖には入れといたほうがいい

>>65
Attestationで検証するのは実行環境じゃなくてコードも含めたデバイスの「状態」ですね
実行時にAttestationを行なって不正な操作を防止します

認証に関してはスクリプト化されているので利用者がニーズに応じて設定可能なようです
これにより認証作業の前にデバイスの認証機能自体が改ざんされていないかをチェックするなども可能になります
アプリとしてワンタイムパスワード機能も用意されているので辞書攻撃などは無効になります
秘密鍵はハードウェア保護することも可能です

Rivetの存在を初めて知りましたが、他の昨今のブロックチェーン技術と同様極めて野心的で興味深い技術だと感じました
トークンの活用の仕方は考えればまだまだ出てきそうですね

>>68
セキュリティホールによる被害が広がるのは、保有する情報資産の状態を十分に把握してコントロールするのが難しいのが大きな原因でもあります
多数のIoTを保有していても、管理サーバーにより一元的にセキュリティパッチなどの適用を確認、強制できます
インシデントが発生した祭のリアクションタイムも短縮が期待できます
統一的にセキュリティポリシーを執行できるのはセキュリティ的に大きな意義があると思います

不正にファームウェアをアップデートされるとかか

>>1
いやーすごい話ですね。
けど、男だからなあ。
だめだよなんていう人も確かにいるけどね。
だけど、これぐらいでって思うよな。
言うだけは誰でもできるからなあ。
さっぱりしたい気持ちは男なら誰でもあるやろ。
くるしい立場なんだろうけどな。
しっかり政治やってればいいとは思うよ。
ぼーとした政治やられるより、スッキリして
うなるような政治を天理市でやってくれればね。



た

今更かよ こいつらバカだろ

>>51
いくつかの知られている脆弱性を試す、と言うかデフォルト設定とかで公開されている機器を探すんじゃない？
標準で公開されているウェブカムとか、パスワードが固定か予測可能なパターンだとか、WAN側から任意のコマンドを実行できるルータとかよくある。あとはHeaetBleedみたいな有名な脆弱性チェックとか？
IoTってのは同じような機器が大量にあるし、サーバーとかとは違って設定も共通。だから新しい脆弱性を探すとかではなくて比較的簡単なテストで検証できるはずだ。

全世界を対象にするのは簡単だが流石にそんな事はできないな。

>>50
パン・チルト付きの監視カメラが勝手に動いたり
スピーカー付きのものだと中国語が聞こえてくる事例の報告が多数

こんな雑な仕事で金もらえるなんて公務員は羨ましいなー

>>81
そんなもんで「これは安全です」とか言われても困っちゃう

やっぱりスマホに流れずガラケーを進化させてればよかったんじゃねーの？

>>84
そりゃ安全の保証なんてできるわけないし、「これは安全です」なんて言うつもりはないだろう。
やらないよりマシってやつ。

問題は技術的にはそう難しくはない話を役所が発注すると相当な予算になるだろうって事。
日本は公務員比率が少なく技術者などもほぼ内部には抱えていないが、その弊害だろうな。
もちろんテスト自体は単純でも、既存の脆弱性の洗い出し、大きな漏れがない保証、警告や問合せの事務処理、書類周りなどなど個人がやる事とはレベルが違うだろうが。

セキュリティ会社の仕事を国がやる必要はない

遅えよボケ！
アメリカは重要なところは(　｀ハ´)産ルーターは使ってないぞ！

>>86
役人が確認したんだから安全じゃないと困るのよ。

T0T

なにもかも無暗にネットにつなぐなよ。

サイバーテロリストの思うつぼだろ。

どんどん脆弱な社会になっていくね。

>>91
あえてやってんのかと思ってたわ
今やLANケーブルぶっこ抜くとかの物理対策も意味なさないからな、無線全盛で

>>2
ハックしてるのをバレないような対策か？

それは、NSAや他の国の国家機関などに互する技術が有ってなんぼでは？
って、
ウィルス作成容疑に引っかかったり、攻撃プログラムの出元になるのを回避するには、
既知のブツへの対策オンリー？
つか数億台て数、攻撃が効く相手先との連絡手段確保無しにネットワーク上で攻撃かけて「調査です」言いそう

技術レベルが低い日本の機関が一体何すんの？

予算が欲しいんだろｗ

そもそも中国製使っている時点で手遅れ

これ自体が不正アクセスだろ
通知が来たら警察に被害届出せばいい

未だにネットに映像がたれ流しになってる監視カメラがあるけど
そういうのも対象になるんかな

スティーブン・キングのザ・トラックみたいな世界に！

IOTなんざ必需品ではないから使わなければ問題ないやろ

>>89
ことセキュリティに関してそれは無理

総務省がネットで爆破メッセージ送って爆発すればアウト

今更かよｗ

そら遠隔操作するためのIoTなんだから、乗っ取り操作も可能
端末機器は大したセキュリティもなさそうだしアプデとかやっとらんだろ