総務省は1月25日、「国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可」において、情報通信研究機構法附則第9条に基づく法附則第8条第2項に規定する業務の実施に関する計画の認可について、認可を適当とする旨の答申を受けたと発表した。総務省はこの答申を踏まえ、この件に係る認可を速やかに進めるとしている。
認可申請の内容は「国立研究開発法人情報通信研究機構法 (平成11年法律第162号) 附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要 [PDF]」にわかりやすくまとまっている。簡単に言うと、情報通信研究機構(NICT)の業務においてパスワード設定等に不備のあるIoT機器の調査を可能にするというもので、向こう5年間の時限措置とされている。
認可申請の背景には、パスワード設定などに不備があるIoTデバイスが原因となったサイバー攻撃の深刻化を受けて実態を把握するための調査が急務であるといった必要性があるとされている。
上記の資料では、国内の約2億のIPv4アドレスに対してポートスキャンを実施。認証要求があったものに対して過去に利用された代表的なIDおよびパスワードの組み合わせ約100通りで特定アクセス行為が可能であるかどうかを確認するとしている。アクセス可能などの記録は対象となる電気通信事業者へ通知するなどして、ユーザーに対して適切な設定を行うように注意喚起を促すとしている。
総務省のこの発表は海外のメディアも取り上げている。総務省の発表を要約する形で伝えているものが多く、この取り組みは2020年に開催される東京オリンピックにおいてパスワードが不適切に設定されたIoTデバイスがサイバー攻撃に利用されることを防ぐ目的があるようだといった説明が加えられている。fossBytesの記事「Japan Will Hack Its Citizens’ IoT Devices To ‘Make Them Secure’」のように、調査そのものがプライバーシに関する懸念を引き起こしていると指摘するメディアもある。