NOTICEの続報 - Fox on Security

総務省とNICTが5年間の事件措置で実施しているNOTICEの続報が発表されていました。

www.soumu.go.jp

3　実施状況
　2019年度の第2四半期までの実施状況は以下のとおりです（括弧内は2019年度の第1四半期までの実施状況）。
・参加ISP：34社（33社）
・調査対象IPアドレス：約1.0億アドレス（約0.9億アドレス）
・取組結果
　＜NOTICEの取組結果＞
　　(1)調査対象となったIPアドレスのうち、ID・パスワードが入力可能であったもの
　　　→ 直近での調査において約98,000件（約42,000件）
　　(2)上記の内、ID・パスワードによりログインでき、注意喚起の対象となったもの
　　　→ 延べ505件（延べ147件）

　＜マルウェアに感染しているIoT機器の利用者への注意喚起の取組結果＞
　　(3)ISPに対する通知の対象となったもの
　　　→ 1日当たり80～559件（1日当たり112件～155件）
　第1四半期までに比べ、上記(1)及び(2)の件数が増加していますが、これは調査対象IPアドレス及び調査対象ポートの拡大並びに調査プログラムの改良によるものと考えられ、脆弱なIoT機器の割合については大きな変化はないものと認識しています。
　また、上記(3)の件数が増加しており、これは本年8月末頃から件数が増加しているものですが、NICTERプロジェクトにおける長期的な観測傾向から見ると大きな変化はないものと認識しています。
　現時点では容易に推測されるID・パスワードを設定している又は既にマルウェアに感染していると判明したIoT機器の数は少ない状況と考えられますが、今後もIoT機器へのマルウェアの感染活動は継続することが見込まれるため、利用者においては、引き続き適切なID・パスワードの設定やファームウェアの最新版へのアップデート等のセキュリティ対策の徹底に努めることが重要です。
（総務省発表より引用）

◆キタきつねの所感

識者の方は誰もこの様に言いませんので、間違っているのかも知れませんが、この発表について、誤解を恐れずに言えば「NOTICEは失敗」だった気がします。

NOTICEは、デフォルトパスワードか容易に推測できるパスワードのIoT機器が多いからBOT化されるのであって、そこを調査して東京五輪に向けて大規模攻撃が予想されるDDoS対策を未然に防ぎましょう！・・・といった目的で始まったものだったと思います。

因みに、総務省のページではどう紹介されているかと言えば、

notice.go.jp

f:id:foxcafelate:20191117064446p:plain

概ね同じ様な事が明記されています。

大々的に取り組んだNOTICEで、9000万のIPアドレスを調べて、、、505件（延べ）しか脆弱パスワードIoT機器を検知できていません。

一方でNOTICEの当初目的には無い＜マルウェアに感染しているIoT機器の利用者への注意喚起の取組結果＞という、既にマルウェア感染している可能性があるIoT機器（でも・・初期パスワードでも脆弱なパスワードでもなかった＝NOTICEで侵入できなかった機器）の調査結果が追加されるようになりました。

この調査は、どうやら日次でインターネットサービスプロバイダー（ISP）に通知連携されて、契約者に設定変更等を促している様ですが、、、ばらつきがあるものの、1日80件~559件の通知がされている様です。

これを既に侵害されているIoT機器だと仮定すると、1年で2.9万台~20.4万台のIoT機器がBOT化されている試算となります。突然６月に付け加わったNICTERの活動の方が、NOTICEの活動より遥かに効果が高い様に思えます。

notice.go.jp

NOTICEが取り組んでいる事自体に効果が無いとは言いませんが、１００個のパスワードでの疑似攻撃の妥当性であったり、既にIoT機器がマルウェア侵害されていて「初期/脆弱パスワードが攻撃者によって変更されている」可能性など、成果が出ない事について、大々的に発表したプロジェクトなのですから、もう少し推定原因を公開すべきではないかと思います。

余談です。前回のNOTICE結果の発表の際にも調べたのですが、、、

NOTICEの結果発表 - Fox on Security

何故か、NOTICEよりも検出数が多い（コスパが良い）「管理レスカメラの掲載サイト」の日本掲載数をまた調べてみました。前回６月は、2060台の掲載だったのですが、、、1362台！と減ってました。

f:id:foxcafelate:20191117065748p:plain