2019年の初めごろ、様々なメディアで「国の不正アクセスだ、これは憲法違反だ」という記事が掲載されていたのを見聞きされた方も多いと思います。総務省とNICT(情報通信研究機構)が開始したNOTICEというプロジェクトの内容が、不正アクセス防止法違反だ、あるいは憲法で保障された通信の秘密を侵害している、という意見です。
NOTICEを大雑把に説明すると、インターネット上に設置されているIoT機器に対して、容易に乗っ取りが行える設定になっていないか、NICTが実際にアクセスして確かめてみるというプロジェクトです。ポートスキャンやTELNETでのバナー情報取得といったメジャーな手法でのセキュリティ調査が行われるそうです。
ポートスキャンというのは、簡単にいうと、調査対象の機器で不要な通信機能がONになっていないかの確認をするテストです。その機器の本来の目的では使わない通信機能をONにしっぱなしにしていると悪い奴にその通信機能を悪用されてしまうので、使わない通信機能は止めましょうというのがセキュリティの基本なので、セキュリティの調査では必ず行われます。これをNICTが実施して、結果がNGだったらどうするのかというと、その機器のIPアドレスを管理しているプロバイダ経由でユーザに注意喚起が行くのだそうです。
なぜIoT機器を対象にしているかというと、IoT機器は、購入したままの初期状態でインターネットに接続されていることが多いからです。例えば、Webカメラを買って、IDとパスワードを初期状態のままインターネットに接続している人も多いと思います。これは悪事の温床になってしまうので、何とかしようという国の施策なわけです。
その趣旨にそって、NOTICEでは、機器の初期状態で設定されているIDやパスワードやよく使われる単純なパスワードを使って、インターネット上のIoT機器へのログインを試行するということもします。ログインできてしまったらNGとしてユーザに注意喚起するのですが、このログインの試行が、不正アクセスだ、憲法違反だ、となっているわけです。
実際に不正アクセス防止法に抵触するかどうかというと、2018年に「総務省は、電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号。)」というのが5年間の時限立法で成立していて、NOTICEを実施するのはOKということになっています。
ログインに成功してもそこですぐにログアウトするということなので通信の秘密についても問題はない気がするのですが、これを許すと、なし崩し的に国がインターネット上の機器を検閲ができるようになってしまい、通信の秘密が保持されなくなるという主張も見かけますが…
個人的には無防備なIoT機器を踏み台にした悪事によって発生する権利の侵害は喫緊の脅威だと感じますので、NOTICEどんどん推進してもらいたいです。