NICT、NOTICE、と「特定アクセス行為」について

(1) 2018/08電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)の施行に伴う省令の制定について(NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係)
http://www.soumu.go.jp/main_content/000571077.pdf

(2) 2018/09/26国立研究開発法人情報通信研究機構の中長期計画の変更案に対するサイバーセキュリティ戦略本部の意見(案)
https://www.nisc.go.jp/conference/cs/dai20/pdf/20shiryou01.pdfhttps://www.nisc.go.jp/active/kihon/pdf/iken20180926.pdf


(3) 2018/11/01国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令案に係る意見募集の結果新旧対照表
https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000179654
意見募集結果
https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000179653


(4) 2019/01/25国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要
http://www.soumu.go.jp/main_content/000595925.pdf
http://www.soumu.go.jp/main_content/000595927.pdf

(5) 2019/02/01IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施https://www.nict.go.jp/press/2019/02/01-1.html

(6) 2019/02/14IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて
https://www.nict.go.jp/info/topics/2019/02/13-2.html
(7) 2019/06/28IoT機器調査及び注意喚起の実施状況について
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00033.html
http://www.soumu.go.jp/main_content/000630525.pdf

NICTが「IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて」で公示しています。
https://www.nict.go.jp/info/topics/2019/02/13-2.html

NOTICEの総当たりアクセス調査に使用するIPアドレス
150.249.227.160/28
153.231.215.8/29
153.231.216.176/29
153.231.216.184/29
153.231.216.216/29
153.231.226.160/29
153.231.226.168/29
153.231.227.192/29
153.231.227.208/29
153.231.227.216/29
153.231.227.224/29

ポートスキャンを仕掛けているのは、ポート番号で21(FTP)、22(SSH)、23(TELNET)、80(HTTP)、443(HTTPS)、その他では 8000、8080 です。単発ではなく、短時間に集中的&連続的にスキャンしているようです。


Let’s imagine a scenario together. Imagine a world where, in a crowded urban metropolis, nobody locked their doors. As a result, burglaries are skyrocketing. This problem could easily be solved by everybody just locking their doors, but for some reason they don’t.
一緒にとある物語を想像してみましょう。混雑した都市部であっても、住人達が家のドアの鍵を掛けない世界を想像してみて下さい。結果として、強盗、窃盗事件の数を大幅に増やしてしまうことでしょう。家のドアの鍵を掛けるだけで問題を簡単に解決できるのにも関わらず、住人達は何故かドアに施錠をしません。

Why not? Maybe they’re too lazy, maybe they’re stupid, or maybe their just don’t believe they’ll be targeted. Whatever the reason, the problem isn’t getting better.
施錠しない理由は何でしょう?もしかしたら、住人達は怠け者かもしれない、あるいはここの人々は無学だから?それとも無関心?理由が何であれ、この強盗の問題はだんだん広がってしまいます。

The police, of course, are overwhelmed. They put out notices asking people to lock their doors, but it doesn’t have much impact. So finally, they come up with a more extreme plan.
もちろん、警察は強盗、窃盗事件が増えたせいで、てんてこ舞いです。人々にドアを施錠するよう警告を発していますが、大勢には影響がありません。そしてついに、思い切った手段に訴えます。

The police hire people to go door to door in every neighborhood, testing each door to see if it’s locked. If they find an unlocked door, they enter the house and leave a warning note. They then write down a list of all the addresses that don’t lock their door and keep it at the police station.
警察が戸別訪問してドアの施錠を確認する人を雇います。施錠されていないドアを見つけたならば、彼らが家の中に入って警告メモを残します。そして彼らが施錠されていない家の住所を記録して、そのリストを警察に送ります。

Naturally, this plan has one problem…entering somebody’s house without permission or a warrant is illegal. But the police solve that by having the government pass a law that makes it temporarily legal for the police to perform “specified access” to unlocked houses.
当然、この計画にはひとつの障壁があります…裁判所の許可あるいは令状なしで、勝手に人の家に入るのは違法です。でもその障壁を乗り越えるため、警察が新しい法律を作ります…施錠を確認するための不法侵入を「特定アクセス」と見なして、一時的に合法化する法律です。

Does this sound like a terrible idea filled with potential for abuse? We agree! Unfortunately, Japan’s NICT does not.
抜け穴だらけのとんでもないアイデアだと思いませんか?我々も同意します。残念ながら、NICTはそう思ってはいません。

The National Institute of Information and Communications Technology announced a plan in February of this year, called NOTICE…”National Operation Towards IoT Clean Environment”. NOTICE is a plan to improve the national level of IoT security. Unfortunately, many hundreds (if not thousands) of IoT devices are either poorly secured, or not secured at all. Many use default passwords, which makes them easy targets for malicious programs like 2016’s Mirai virus.
情報通信研究機構(NICT)が今年の2月に、「NOTICE」という計画を実行しました…”National Operation Towards IoT Clean Environment”。NOTICEは日本国内のIoTセキュリティーを高めるための計画です。残念ながら、多くのIoTデバイスにはセキュリティ上の脆弱性があり、さらにはセキュリティー対策自体が全く施されていないデバイスすら存在します。多くのデバイスはパスワードがデフォルトのまま設定されており、ウィルスにとっていいカモになっています(例えば2016年のMiraiウィルス)。

The NICT wants to encourage better security practices, which is good. Unfortunately their method of doing this is very bad. Under NOTICE, the NICT plans to run brute-force dictionary attacks on all IoT devices in Japan, testing default passwords to try and access them. If the attack is successful, they will notify the owners and advise them to change their password. It’s also likely they’ll be keeping records of which devices were successfully accessed.
NICTはより良いセキュリティーを奨励したい、これ自体については良いことだと思います。しかし残念なことに、NICTのやり方はあまり良いものであるとはいえません。NOTICEの下で、NICTは全日本のIoTデバイスにいわゆる「総当たり辞書攻撃」を行って、デフォルトパスワードのデータベースを利用しアクセスしようとしています。攻撃が成功しデバイスにアクセスできる場合、NICTがパスワードを変えるよう勧めるためにデバイスの管理者に連絡します。NICTはどのデバイスをアクセスできたかのログも記録する可能性も高いと思います。

Of course, this plan had one problem…the type of brute-force attack the NICT wants to use under NOTICE is considered unauthorized access, and is illegal under Japanese law. Which is why, in 2018, the Japanese government created amendmends to the Telecommunications Business Law and the National Research and Development Institute of Information and Communications Technology Law. These amendments stipulated a class of “specified access” as an exception to unauthorized access, essentially making it temporarily legal for the NICT to perform unauthorized access to private networks.
当然、この計画にはひとつの障壁があります…NICTがNOTICEの下で行おうとする「総当たり攻撃」は法律に基づいて「不正アクセス」に抵触し犯罪です。であるからこそ、2018年に日本政府は「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」を通過させ、NICTの攻撃を「特定アクセス」と見なし合法化させました。

There are thankfully some limits on the NICT’s new “specified access” powers…for now. Legal targets are limited to those that meet the criteria set forth by the Ministry of Internal Affairs. The NICT’s brute force attacks will employ only passwords less than 8 characters, those used in past cyber attacks, and those using only identical or consecutive characters. Sadly, these limitations are of little comfort. More on that later.
幸いなことに、NICTの「特定アクセス」権限には制限が設けられています(少なくとも今のところは)。「特定アクセス」の合法的侵入目標群は、総務省令で定める次のような基準を満たされるものに限られます。

・8文字未満パスワード
・これまでサイバー攻撃のために用いられたもの
・同一の文字のみ又は連続した文字のみを用いたもの
・その他の容易に推測されるもの


以上、NICTの総当たり攻撃の基準に関しては、これらの制限が適応されます。
しかしながら、こういった制限は何の救いにもならないお慰めにしか過ぎません。後ほど、さらに詳細を述べましょう。

While the goal of improving Japan’s network security is commendable, the NICT’s plan under NOTICE may have a number of unintended consequences.
確かに、日本のネットワークセキュリティーを高めるのは立派な目的ではありますが、NICTの計画は思わぬ結果をもたらすであろうと思います。

Firstly, legalizing government hacking of private networks opens to door to abuse by other branches of government. We already know that CIRO and the Japanese Directorate for Signals Intelligence are monitoring the Japanese internet, and cooperating closely with America’s NSA. There’s potential that they might be tempted to deputize the NICT to perform “specified access” to a private network on their behalf, protected by the legal shield created by the 2018 amendments.
第一に、政府によるプライベートネットワークのハッキングを合法化することは、他の政府機関による悪用への扉を開いてしまうこととなるでしょう。CIROと防衛省情報本部電波部(DFS)が、米NSAと協力して日本の通信を監視していることは、すでに明らかにされています。NICTはそういう政府機関の手先としてプライベートネットワークをハッキングするよう頼まれる可能性があり、そしてそういう行為は2018年の電気通信事業法の改正により法的保護されるでしょう。


The ability of the NICT to successfully contact the owners of private network to warn them is also an issue, as is the likelihood that those owners might not notice (or might ignore) this contact. As a result, the NICT will end up maintaining a list of unsecure IoT devices in Japan…a list that will itself become a target for hackers, who will have faster and easier access to victims. In this way, the NICT might make Japanese networks less secure rather than more.
第二に、NICTがIoTデバイスの管理者と連絡を取れるかどうか、そして管理者は連絡に気付くか、そしてそれを受け取るかどうかという問題もあります。結果として、NICTは効果的に日本国内にあるセキュリティーの弱いIoTデバイスのリストを保持し続けることになります。被害者をより早く見つける手段として、リストそのものはハッカーのターゲットになるでしょう。つまり、NOTICEが日本のネットワークを攻撃への暴露につながる可能性もあり、逆に日本のセキュリティー状態をさらなる悪化へと招くことになります。

Finally, the limits on the “Specified Access” exemption is no guarantee of limited powers. The Japanese government has a long history of creating “temporary” or “limited” powers, and then expanding or extending them after the fact when they find a reason to do so. As far as the Japanese government is concerned, a promise and 100 yen couldn’t buy a can of coffee.
最後に、「特定アクセス」の制限が実際に権力乱用を抑制できるとは全くもって期待できないでしょう。日本政府は「一時的」あるいは「特定」権力の延長のための狡猾な自己正当化をし続けた長い歴史があります。政府の約束は露程も価値がありません。


To be clear, the goal of improving IoT security is a good one, and we certainly encourage all users of IoT devices to stop using default passwords. One visit to Insecam-dot-org and you’ll see why it’s dangerous to leave network devices unsecured. But the plan under NOTICE is not a good solution, and will very likely create more problems than it solves.
はっきり申しまして、日本のIoTセキュリティーを高めることこそが良い目標だと思います、そしてIoTユーザーにデフォルトパスワードのままデバイスを使わないことを強く勧めます。Insecam.orgというサイトを見るだけで、危険性を理解できます。しかしNOTICEの行為は良い解決策とは言えず、より多くの新たな問題を発生させてしまうと我々は考えています。

So what can we do about it? Well, one thing network operators can do is block the NICT from accessing their networks entirely. In fact, the NICT has helpfully provided a list of the IP addresses they’re using under NOTICE, and which ports they intend to scan. If they find some or most of their “specified access” attempts being blocked outright, that might send a message to the NICT about the popularity of NOTICE.
それでは、NICTへの対応として何をすべきでしょうか?プライベートネットワークの管理者がただ一つできることは、NICTからの攻撃を初めから完全にブロックすることです。実は、NICTはNOTICEの下で攻撃のIPアドレス範囲と目標ポート番号を発表していました。「特定アクセス」が多くのネットワークによってブロックされ未遂案件が続出すれば、NICTとNOTICEに対する世論の反発という明確なメッセージを伝えられるかもしれません。

A list of these IP addresses, as well as a timeline of information about NOTICE, are provided above. Please feel free to use this information as you see fit.
このIPアドレスのリスト、そしてNICTのNOTICEについての発表年表はこのポストにアクセスできます。どうぞ、ご自由にこの情報をご利用下さい。

And for the love of God, please change the passwords on your IoT shit.
そして後生ですから、IoTデバイスのデフォルトパスワードを変えて下さい。