総務省のセキュリティ調査「NOTICE」が新たなネット詐欺の呼び水になるかもという話

(写真:西村尚己/アフロ)

 以前にこういう記事を書きました。

政府自らが調査目的で国内IoTデバイス対象に事実上のサイバー攻撃を開始するらしい件(ヤフーニュース個人 山本一郎 19/1/29)

 で、この施策に関してはセキュリティ界隈でも色々と物議を醸しており、高木浩光さんもかなり突っ込んだ論考記事を書かれております。何しろ高木流の相当力(ちから)の入った長文記事であるため気軽にサクッと目を通すという訳にはいかない情報量であります。皆さん時間に余裕があるときなどに是非リンク先を読んでいただきたいところですが、ITリテラシーなどに関係無く国民の誰にとっても分かりやすい問題点は記事最後の部分が端的に示していると思いますので、そのまま以下に引用しておきます。

改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない(高木浩光@自宅の日記 19/2/11)

 本気で初めから「十分に強いパスワード」でない機器の侵入テストを無差別に行うつもりでこう立法したというのであれば、現在聞こえてくる国民の非難の声は傾聴に値するものであり、今後も延焼し続けることになるだろう。

 というわけで、鎮火させるならば、なすべきことは、本来合法的な行為に限っていることを国民に説明することであるが、総務省らが今説明していることは、検査することの意義の説明ばかりで、強制的に「理解を求める」ものになってしまっているように見える。特に、理解を求めるためのポスターが作成されたようだが、これが悪手で、「家のカギかけるよな?」「サイフ置きっぱなしにしないよな?」などと書かれており、警戒する国民らの不信感を逆撫でするものになっている。

出典:高木浩光@自宅の日記

 総務省のポスターはなぜか無駄に高飛車で威圧的な感じなんですよね、そんな意識はしていなさそうなのですが。なぜこんな演出の仕方で周知しようとしたのかは大いに理解に苦しむところです。総務省の中の人達はこういうのが面白いと思ったんですかね。

 で、こうしたやり方が良いか悪いかについての議論はひとまず置いておくとして、実際に総務省のセキュリティ調査「NOTICE」は今月(2019年2月)20日(水)から実施される(実施された? 実施されている?)ことが発表されたとおり確定しております。なので20日以降、どういうことが起こり得るのか、また調査される我々国民としては何か用意しておくべきことがあるのかといったあたりを解説した記事があるので目を通しておくと参考になるかもしれません。

 現段階では「NOTICEに入られた」「総務省から脆弱性についての連絡があった」というような実体験に基づく情報はなく、それほど多くの話題はネット上に出ていませんが。

国のIoT機器調査「NOTICE」が20日から実施、その前にやっておきたい自宅のセキュリティチェック(INTERNET Watch 19/2/18)

 自宅やオフィスにあるネットワーク機器のうち、外部からアクセス可能な製品に関して、悪用される恐れがないかをチェックするテストが実施される。

(中略)

 仮に、脆弱なパスワードなどが検知された場合は、取得したIPアドレスの情報がISPへと伝えられ、ISP経由で個別のユーザー宛てに注意喚起の案内が送られる。

出典:INTERNET Watch

 いまの時代、自宅やオフィスにルーターやウェブカメラなど何らかのネット接続機器を備えているというところは少なくないことでしょうが、こうして説明されても何がなにやら意味不明でよく分からないという人は多いかもしれません。その時点で、この調査のあり方も前途多難であると思わなくもないのですが、一つだけすべての人が注意しておくべき重要なポイントがあります。

 実際に、ISPからメールや電話が来ると、慌ててしまうこともあるし、良い気分もしない。

この状況を悪用した詐欺なども発生する可能性がある

出典:INTERNET Watch

 昨今は裁判所や役所を騙る詐欺も増えており、残念ながらそうしたパターンの一つとしてNOTICEの調査結果で問題があるというような報告を装って金銭や個人情報などをだまし取ろうとする輩が出てくる可能性は決して低くないと考えられます。大いに注意したいところでありますが、NOTICEという調査のあり方そのものが万人に理解しやすいものとは思えないだけに、ちょっと危惧してしまうものがあります。総務省としてもあのポスターよりももっとわかりやすい形で色々と国民に周知しておくべきことがあるのではないかと感じるところですが、どうしたものでしょうか。

 「総務省のほうから来ました」とかいう電話がかかってきたら、それはそれで心がときめく魔法の言葉のように感じる部分はありますけれども、何か他にエレガントな方法は無いのか、セキュリティに関わる面々で議論を深めていく必要がありそうです。