NHKが「総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も」と報じ、話題になっている(Twitterのトレンドに載ったようだ)。

想定されているのは、パスワードの設定に不備があるルーターやウェブカメラを乗っ取って外部への攻撃に利用するといういわゆる踏み台型攻撃と思われる。

通常、サイバー攻撃とか不正アクセスというと、たとえばGoogleとかTwitterとかAmazonとかのデータを持っている企業が攻撃を受ける、とか、パスワードを盗まれて不正にログインされる、とか、パソコンやスマートフォンにウイルスが、とかがまず想像されよう。しかし、今回対象とされているのはその手のものではなく、家庭にあるルーターやウェブカメラ、あるいは家電などの機器である。

こうしたルーターやウェブカメラなどの機器の多くは、ネットワークを経由して管理画面を提供している(もっとも、管理機能を使ったことがなく管理画面を目にしたこともない、という利用者も多いだろう)。こうした機器が不適切な設定のまま(たとえば、管理画面のパスワードが初期設定のまま、というケースが考えられる)インターネットに接続されていると、悪意のある攻撃者に不正に管理機能にログインされ悪用されるおそれがある。(最近では、個体ごとに初期パスワードが異なっていてわざわざパスワードを変える必要がない、という機器が多くなっているが、)同じ型の機器で初期パスワードが全て同じというケースが(特に古い機器で)結構あるようで、使いもしない管理画面のパスワードを変える人はあまり多くなかろうから、簡単に乗っ取られ得るような機器がそこらじゅうにあるだろうと考えられている。初期パスワード以外にも、"password"とか"123456"のような単純なパスワードを設定していても、問題となる。(あるいは、機器がウイルス(マルウェア)に感染した場合にも問題となる)

具体的な悪用の内容としては、機器の管理機能を利用できるわけなので、たとえばウェブカメラの場合はカメラの映像を取得され悪用される、悪意ある者に機器を操作され物理的な危険を招く(自動車のような例を考えるとわかりやすい)、というようなものがまずは考えられるのであるが、今回特に問題となっているのは、機器を乗っ取られ、DDoS攻撃(アクセス飽和攻撃)などの他のサイバー攻撃の踏み台として利用される、というケースである。2016年10月に、Miraiと呼ばれるマルウェアによってこのタイプの大規模なDDoS攻撃が行われており1、典型例として言及されているようである。また、特にオリンピック・パラリンピックに関係して攻撃が行われるケースがたびたびあり、2020年東京大会を前にして対策が検討されたという面もあるようである。

実際に「調査」を行うことになるのは、総務省所管の独立行政法人である国立研究開発法人情報通信研究機構(NICT)である。「調査」の流れとしては、次のようになる：

1. NICTが、インターネットに接続されているルーターやウェブカメラに(「無差別に」)アクセスし、初期パスワードや単純なパスワード(以下「弱いパスワード」という)として知られているパスワードによってログインを試みる。ログインできるならば、それはパスワードの設定に「不備がある」ということになる。
2. NICTが「不備のある」機器の情報を電気通信事業者(インターネットプロバイダ)に提供する。この調査で得られる情報はふつうIPアドレスなので、提供される情報はIPアドレスということになる。
3. インターネットプロバイダはどのIPアドレスがどの利用者に割り当てられているかを知っているので、それをもとに「不備のある」機器の利用者に注意喚起する。

これは、他人の機器にログインすることを試みるわけで、いくらログイン後に悪いことをしないからといっても、不正アクセスそのものであり、問題を孕んでいえるといえる(NHKの記事でも言及されている)。通常であれば不正アクセス禁止法で禁止・違法とされる行為であるが、今回のNICTの「調査」は、不正アクセス禁止法の対象から除外されており、一応合法という形になっている。

なお、今回のNICTの調査は、あくまでもログイン試行を行うものであって、NICTが脆弱性を利用したりするようなものではない。

さて、それでは、以下もうすこしくわしく検討したい。とりあえずのところ、体系的に整理するというよりは、論点を挙げて確認していく形で記す。

根拠法令

今回の「調査」の根拠となる条文は、具体的には国立研究開発法人情報通信機構法(平成11年法律第162号)である(附則第8条第2項から第4項まで・同第6項から第8項まで・附則第9条から第11条まで)。電気通信事業法及び国立研究開発法人情報通信機構法の一部を改正する法律(平成30年法律第24号)による改正で追加されたものである。なお、改正法の成立は2018年5月16日、公布は2018年5月23日、施行は2018年11月1日であった。

この改正法は大きく分けて4つの内容を含んでいる：

• 「深刻化するサイバー攻撃への通信事業者の対処の促進」：第三者機関(「認定送信型対電気通信設備サイバー攻撃対処協会」)を設けて、「サイバー攻撃の送信元となるマルウェア感染危機などの情報を共有するための制度を整備し、通信事業者による利用者への注意喚起・攻撃通信のブロック等を促進」する
• 「電気通信番号に関する制度整備」(ここでの電気通信番号とは電話番号のこと。携帯電話・0120の番号逼迫への対策)
• 「電気通信業務等の休廃止に係る利用者保護」(NTT固定電話のIP網への移行が主に想定されている)
• NICTの業務に「パスワード設定に不備のあるIoT機器の調査」等を追加する

本件に関係するのは4番目である。

以下、細かいが注目したい点を挙げる：

• 弱いパスワード：本件調査では、弱いパスワードを入力してログインを試みるのであるが、この弱いパスワードというのが、「当該識別符号について電気通信事業法第五十二条第一項又は第七十条第一項第一号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないもの」として法律中に明文で規定されている。(つまり、大丈夫そうな(弱くない)パスワードまでむやみやたらに試してはいけない、ということ) なお、弱いパスワードの範囲が総務省令で具体的に定められていて、「字数8以上で」ないもの、または、「これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの」が弱いパスワードということになっている。
• 時限措置：本件調査業務は、5年間の時限措置となっていて、「平成36年3月31日までの間」行うことになっている(平成36年は2024年)。
• プロバイダーへの提供の第三者機関への委託：調査によって得た情報をプロバイダーへ提供する業務は、第三者機関(「認定送信型対電気通信設備サイバー攻撃対処協会」。一般社団法人ICT-ISACが認定されている)へ委託することができる(調査＝機器へのアクセスそのものは、NICTが自ら行う)
• 実施計画の認可：NICTは、本件調査業務を行う前に、実施計画を作成して、総務大臣(総務省)の認可を受けなければならない。(実施計画の具体的な事項は総務省令にも規定がある)
• 不正アクセス禁止法の適用除外：本件調査業務は、不正アクセス禁止法にいう「不正アクセス」には該当しないとされ、同法の適用(禁止・違法)が除外される。
• 審議会等への諮問：総務大臣(総務省)は、本件に関係する省令の制定・改廃及び実施計画の認可にあたっては、審議会等(政令で情報通信行政・郵政行政審議会と定められている)に諮問しなければならない。

法制定後の動き

• NICTは、2018年11月7日、文書「日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について」を公表し、本件調査のための事前調査を行うことを発表した(事前調査の内容は、いわゆるポートスキャンであり、本件調査において行うログイン試行とは異なる)。また、事前調査の際にNICTが使用するIPアドレスも公表された。
• 総務省は、2019年1月25日、NICTの本件調査業務実施計画の認可につき、情報通信行政・郵政行政審議会から認可適当との答申があり、速やかに認可を行う予定であることを公表した。なお、実施計画の概要もあわせて公表されており、NICTが使用する予定のIPアドレスなども含まれている。(文書「国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可」)

国会審議

本件に関する法案の国会における審議について見る。問題の法律は第196回国会内閣提出第33号であった。

まず目に付くのは、採決において日本共産党が反対していることである。これは、主にNTT固定電話のIP網移行にあたっての利用者保護が不十分であることを理由にしているものではあるが、委員会討論においては本件調査業務についても言及しており、NICTや第三者機関が本来知り得ない情報を取り扱うことにつき通信の秘密の遵守と個人情報の保護の徹底を求める旨述べている。

さて、委員会質疑を見てみると、改正法の内容が多岐にわたっていることもあり本件調査業務に関するものは割合としては少ないのであるが、議論をざっと拾ってみると、次のようになる：

• 5年間の時限措置であることについて
  • 答弁の要旨：過去の類似の取組では、5年間で一定の成果が上がっている。また、改正案では施行3年後に施行状況に関して検討することにしており、そこで継続するか変更するかなど検討することになる。
• 本件調査業務の法制化に先立って(あるいは並行して)弱いパスワードについての国民への広報することが必要である。
• 調査に基づいて情報の提供を受けたインターネットプロバイダが利用者に注意喚起する部分については本件法律に規定があるわけではない(インターネットプロバイダーの自主的な取組ということになる)。これはインターネットプロバイダーと契約者(利用者)の間の問題でもあるので一概に法律でくくればいいというわけではないが、実効性の観点からは疑問がある。また、注意喚起という形で行うことになると、便乗詐欺の懸念がある。
  • これに関係して、総務省は、注意喚起を受けた利用者について、サポートセンターを設置して対応を行う計画であるとした。
• 本件調査業務は、政府機関であるNICTがハッキングをするようなものである。通信の秘密・表現の自由・個人情報保護との関係はどうか。
  • 通信の秘密との関係について野田総務大臣の答弁の要旨：通信の秘密の侵害とは、通信の内容等を知得・窃用ないし漏洩することをいうが、本件調査業務はそのいずれにも該当しないので、通信の秘密の侵害には該当しない
• 本件調査業務でNICTが収集した情報の管理に関する懸念(一例として、外部委託・再委託の可能性)
  • 答弁の要旨：実施計画の認可を通して適切な管理が行われるよう図る。

なお、有益な資料として、参議院調査室の発行する『立法と調査』に掲載された記事「IoT機器等へのサイバー攻撃の急増と固定電話網のIP網への移行等に対する取組」は、本法案の提出経緯・概要・国会における論議がよくまとまっている。

法案提出の経緯(有識者会議等)

本件改正法案の提出は、2017年10月から2018年2月にかけて総務省2の開催した「円滑なインターネット利用環境の確保に関する検討会」(いわゆる有識者会議)における議論と報告書(取りまとめ)を踏まえてなされている(とされる)。

この有識者会議に関する情報は総務省ホームページで公開されている。公開されている情報の内容は、3回の開催の配付資料・議事要旨で、議事録は公開されていない(これについては、パブリックコメントで寄せられた意見に対する考え方として、「本検討会においては、具体的なサイバー攻撃の手法や各事業者における対策手法等を公開することによりサイバー攻撃が誘発されることを防止する等の観点から、一部資料及びWGの会議自体は非公開としていますが、事後的に公開が可能と判断できた資料や議事概要についてはいずれも公表しており、今後も公開が可能な情報については提供を行っていきます。」と説明されている)。

検討会の開催日程は、第1回が2017年10月26日、4回の非公開のWG(ワーキンググループ)を経て、第2回が2017年12月22日、パブリックコメントを経て、第3回が2018年2月9日、となっており、その後、2018年2月20日に報告書が公表された。

さて、有識者会議の報告書「円滑なインターネット利用環境の確保に関する検討会 対応の方向性」を具体的に見ると、本件改正法に含まれる内容のうち、インターネットプロバイダ間の情報共有や第三者機関の設置等については言及があるものの、脆弱なIoT機器への対策については、総論的・一般論的に検討の必要性が述べられているにすぎず、NICTによる調査といった内容はまったく含まれていない。

一方、総務省における法案提出の過程を見ると、2018年1月19日に発表された「第196回国会(常会)総務省提出予定法律案等」では、「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案」が含まれている。本件法案のうち国立研究開発法人情報通信研究機構法の改正に係る内容は本件調査業務に関係する内容のみであるから、この時点で本件調査業務を法制化する方向で準備がなされていたことが伺える。実際、そのような旨の報道も確認できる(IoT狙ったサイバー攻撃対策強化に2法案を提出へ 総務省(産経ニュース、2018年1月19日)等)ほか、国会議員のウェブサイト等に掲載されている政府の資料からも読み取ることができる3。実際に国会に法案が提出されたのは2018年3月6日である。

なお、サイバーセキュリティという観点では、2017年1月以降現在まで、総務省の「サイバーセキュリティタスクフォース」が継続的に開催されている。2017年10月には、タスクフォースによって取りまとめられた「IoTセキュリティ総合対策」が公表されており、IoTのセキュリティについて、製造段階から利用段階まで包括的な対策を提示している。本件改正法も、この「総合対策」を踏まえて立法されたもの(のよう)である。もっとも、「総合対策」においても、IoT機器の脆弱性調査について言及されているものの、いわゆるセキュリティホールに類するものの調査や、実際の機器状況の調査についてはポートスキャンに類するものが言及されているにすぎず、本件調査業務のような形での調査は言及されていない。

私見

正直なところ第一印象としては「えぇ…」だったわけなのですが。

まあ、本来違法の行為でも国家が行う場合は合法というのは、それだけで直ちに悪かというとたぶんそうともいえなくて、それを言ったらそもそも国家とは暴力を独占する主体みたいな話にもなるわけですけど。

とりあえずまずこういう場合には憲法適合性(違憲性)を考えることになろうかと。今回の場合、まず考えられるのは通信の秘密になるのだけど、ただ、通信の秘密といったらまずは通信経路上における通信業務従事者(インターネットの場合はとくに電気通信事業者)に対してということになるわけで(法律による具体化としてたとえば電気通信事業法第4条)、この意味で言えば、今回NICTは直接に何らかの通信を媒介しているわけではないので、通信の秘密の問題とは考えにくい。(これは、国会審議において野田総務大臣が答弁で述べたところでもある) まあ、機器の管理画面にアクセスする以上、そこで当該機器の持っている通信のログを偶然取得してしまうみたいなことが原理的にはあり得なくはないのだが、NICTが通信媒介者でないのは一緒なので、ちょっと(狭義の)通信の秘密というのは無理があると思う。

いっぽうで、たとえば通信ログとか、ウェブカメラであればカメラの映像とかを取得しうるということになると、(実際の運用ではおそらくそういう情報は取得しても直ちに破棄することになるんだろうとは思うけど、)プライバシー権との関係が問題になるのではないかなあとは思う。プライバシー権は、(いろいろ議論はあるけれど、)現在においては、「私生活をみだりに公開されない権利」とか「自己情報コントロール権」として憲法上保護されるべきものとしてとらえられている4。こういう点からすると、問題がないとはいえないのは、まあ確かなんじゃないかなあとも、思う。もちろんだからといって直ちにダメというわけではなく他の権利との比較衡量とか色々考えることがあるという話だけど。

個人情報保護の観点についてみると、個人情報保護法(個人情報の保護に関する法律。ただし、NICTに適用されるのは独立行政法人等の保有する個人情報の保護に関する法律になる)上は、IPアドレスは一般にはそれだけでは個人を特定できる情報ではないので個人情報にあたらないと考えられていて、直ちに違法とはいえない。また、通信ログとかウェブカメラの映像とかから個人が特定できるような場合があるかもしれないが、実際の運用ではそういう情報はおそらく個人情報として検索できるかたちで記録されることはないので、個人情報保護法制上問題になるものではなさそうというところである。ただ、インターネットプロバイダにとってはIPアドレスは個人を特定できる情報になるので、それを取得するのは個人情報保護法の規制の対象になるのでは？という気もする。知らんけど。まあなんか個人情報保護法制まわりもいろいろごたごたしているというのがなんとなくの印象なんで微妙なんですが、少なくとも現行法上はこんなところだと思う…。

あとはまあ、当然不備のある機器のリストが漏れたりしたらやばいのは当然で情報管理ちゃんとやらないといけないね、というのは、それはそう。

というのと、実効性の問題がある。なんか派手に調査するのだけれど、それで結局最後は注意喚起で終わってしまう、というあたりで、どうなのかなあと思ったりもする。

というかそもそも、わざわざ不正アクセス禁止法の適用除外までして政府機関がこんなことしなくても、普通にインターネットプロバイダーが(必要なら利用者同意を得て)自分の顧客の分の調査をするというのでごく穏当に同様のことができると思うのですが。NICTが技術提供すればいいんだし。そのあたりどうもやっぱり気持ち悪いというかなんというか。

参考までの情報として、総務省は、2017年9月から2018年3月にかけて、ポートスキャン5による調査を行っていて、おそらく、今回のNICTの調査対象になる何らかのパスワードを入力する余地のある機器がどれくらいあるかいたいなことについてある程度の目算をつけているんじゃないかと思う。

というのがひととおりの検討になるのだけど、それはそれとして何となく思っているのが、インターネットってもともと自律分散システムとして発展してきた(ほんまか？)わけで、それを強く意識していると、政府によるコントロールみたいなものに関してなんとなく否定的な印象が先行してしまうのかもな、ということだったりする。知らんけど。

資料・参考文献

• 法令条文
  • 国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)(e-Gov)
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成三十年法律第二十四号)(衆議院)
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律 新旧対照条文(総務省)
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律の施行に伴う関係政令の整備に関する政令(平成三十年政令第二百三十七号)(総務省)：諮問する審議会等を具体的に情報通信行政・郵政行政審議会と定めるもの
  • 国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令(平成三十年総務省令第六十一号)(e-Gov)：本件調査業務で試行するパスワードの基準を具体的に定め、及び、本件調査業務実施計画に関する事項を定めるもの
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律の施行期日を定める政令(平成三十年政令第三百二号)：官報 平成30年10月26日 本紙 第7376号(インターネット版官報)に掲載
• 第196回国会閣法第33号 附帯決議(衆議院)
• 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案 概要(総務省)：法案提出時の概要資料(いわゆるポンチ絵)
• 省令制定関係(総務省)
  • (情報通信行政・郵政行政審議会 総会(第10回) 配付資料・議事概要・議事録：省令制定にあたって諮問を受けた審議会での議論)
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律の施行に伴う国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令案に係る意見募集(2018年8月24日)：省令制定にあたってのパブリックコメント。なお、「省令案の概要」資料中に「今後の想定スケジュール」も示されている。
  • (情報通信行政・郵政行政審議会 総会(第11回) 配付資料・議事概要・議事録：パブリックコメントの結果を受けて審議会が制定適当との答申をした)
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律の施行に伴う国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令案に係る意見募集の結果及び情報通信行政・郵政行政審議会からの答申(2018年10月19日)：パブリックコメントの結果等
• 認定送信型対電気通信設備サイバー攻撃対処協会の認定(総務省、2019年1月8日)：本件改正法に基づき第三者機関(認定送信型電気通信設備サイバー攻撃対処協会)として一般社団法人ICT-ISACを認定したことの公表。
• 実施計画認可関係(総務省)
  • (情報通信行政・郵政行政審議会 電気通信事業部会(第92回)：実施計画の認可にあたって試問を受けた審議会での審議。なお、本記事執筆時点では配付資料・議事概要・議事録等はまだ公開されていない)
  • 国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可(2019年1月25日)：本件調査業務実施計画を認可することの公表。実施計画の概要も示されている。
• 日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について(国立研究開発法人情報通信研究機構、2018年11月7日。2018年12月10日更新)
• (総務大臣による)認定送信型対電気通信設備サイバー攻撃対処協会の認定について(一般社団法人ICT-ISAC、2019年1月8日)
• 国会審議関係
  • 閣法 第196国会 33 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案 議案審議経過情報(衆議院)
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律案 議案審議情報(参議院)
  • 電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律 会議録一覧(国立国会図書館 日本法令索引)
  • 衆議院会議録情報 第196回国会 総務委員会 第8号(国立国会図書館 国会会議録検索システム)：本件法案の趣旨説明が行われている。
  • 衆議院会議録情報 第196回国会 総務委員会 第9号(国立国会図書館 国会会議録検索システム)：本件法案の委員会質疑・討論・採決・附帯決議が行われている。
  • 衆議院会議録情報 第196回国会 本会議 第19号(国立国会図書館 国会会議録検索システム)：本件法案の委員長報告・採決が行われている。
  • 参議院会議録情報 第196回国会 総務委員会 第7号(国立国会図書館 国会会議録検索システム)：本件法案の趣旨説明が行われている。
  • 参議院会議録情報 第196回国会 総務委員会 第8号(国立国会図書館 国会会議録検索システム)：本件法案の委員会質疑・討論・採決が行われている。
  • 参議院会議録情報 第196回国会 本会議 第19号(国立国会図書館 国会会議録検索システム)：本件法案の委員長報告・採決が行われている。
  • 千葉翔平「IoT機器等へのサイバー攻撃の急増と固定電話網のIP網への移行等に対する取組」(参議院調査室『立法と調査』402号、2018年7月2日)
• 円滑なインターネット利用環境の確保に関する検討会(有識者会議)関係(総務省)
  • 円滑なインターネット利用環境の確保に関する検討会：目次ページ。各開催の開催案内・配付資料・議事要旨が掲載されている。
  • 「円滑なインターネット利用環境の確保に関する検討会」開催要綱：検討会第1回の資料として
  • サイバーセキュリティ等に係る現状と課題について：検討会第1回の事務局提出資料
  • 円滑なインターネット利用環境の確保に関する検討会対応の方向性(案)に対する意見募集
  • 「円滑なインターネット利用環境の確保に関する検討会 対応の方向性」及び意見募集結果の公表
  • 円滑なインターネット利用環境の確保に関する検討会 対応の方向性
• 第196回国会(常会)総務省提出予定法律案等(総務省、2018年1月19日)：本件改正法案が含まれている
• サイバーセキュリティタスクフォース・IoTセキュリティ総合対策関係
  • サイバーセキュリティタスクフォース
  • 「IoTセキュリティ総合対策」の公表(2017年10月3日)
  • IoTセキュリティ総合対策
• IoT機器に関する脆弱性調査等の実施(総務省、2017年9月5日)
• IoT機器に関する脆弱性調査等の実施結果の公表(総務省、2018年7月2日)
• 報道(主なもの)
  • サイバー攻撃、事業者連携で防衛 総務省が検討開始(日本経済新聞、2017年10月26日)：有識者会議の初回開催に際しての記事
  • サイバー攻撃をプロバイダーは止められるか、総務省の意欲(日経 xTECH(記事公開当時はITpro)、2017年11月2日)：同、詳報記事
  • IoT狙ったサイバー攻撃対策強化に2法案を提出へ 総務省(産経ニュース、2018年1月19日)：内閣の提出予定法案の取りまとめを受けたもの
  • パスワードが単純なIoT機器は外部から無断ログインOK？ 政府方針にネットで疑問の声(INTERNET Watch、2018年1月24日)：同。共同通信記事へのリンクが含まれるが、リンク切れしている。
  • 総務省が身内に甘い2法案を提出した理由(日経 xTECH、2018年2月14日)
  • サイバー攻撃によるネット障害、情報共有機関の設置などを検討へ 総務省(IoT Security Headlines、2018年2月22日)：トレンドマイクロによる情報サイトの記事。有識者会議の報告書の公表を受けたもの
  • IoTサイバー対策の改正法案概要判明 接続業者間で情報共有、NICTが脆弱な機器を調査(産経ニュース、2018年3月4日)：法案提出を控えて
  • 重要インフラのIoT、脆弱性150件 総務省が実態調査(日本経済新聞、2018年7月4日)：総務省の調査結果発表を受けたもの
  • 国内のIPアドレスが対象、TCP 22/23/80番へのポートスキャンをNICTが実施へ、11月1日の改正法令施行を受け(INTERNET Watch、2018年11月8日)：NICTの発表を受けたもの
  • 国内IoT機器の大規模調査、準備のための事前調査がスタート(IoT Security Headlines、2018年11月13日)：同
  • 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も(NHKニュース、2019年1月25日)：実施計画認可の公表を受けたものと思われる