IoT機器の技術基準適合認定、いわゆる“技適”の基準が変わる。「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号）」が公布され、2020年4月1日から施行されるためだ。端的に言えば、IoT機器にセキュリティ対策機能の実装が必須になった。

背景にDDoS攻撃「我々が特に注目しているのは、IoT機器の大量感染による大量のDDoS攻撃だ」。改正の背景について、総務省 総合通信基盤局 電気通信事業部 電気通信技術システム課 課長補佐の影井敬義氏はこう説明する。

総務省 総合通信基盤局 電気通信事業部 電気通信技術システム課 課長補佐 影井敬義氏

IoT機器がサイバー犯罪者に乗っ取られ、ボットネット化して大規模なDDoS攻撃を仕掛ける事例が相次いでいる。

例えば2016年10月21日、米Dyn社のDNSサーバーに大規模なDDoS攻撃が2回行われた。同サービスを利用していたAmazon、Netflix、Twitterなどの著名サイトが影響を受け、しばらく繋がりづらい状態になった。

この事件には、IoTマルウェアの「Mirai」が利用されたとみられている。Miraiは初期パスワードや「123456」のような、強度の低いパスワードなどを使用しているルーターなどのIoT端末を次々と乗っ取りボット化する。その結果、Dyn社のDNSサーバーへの攻撃は1.2Tbpsに達したとの報告もある。

こうした事件を踏まえて総務省も「国として何か対策をしなくてはならない」と、IoT機器の技適基準を見直す検討を重ね、省令改正に至った。

追加必須の3機能今回の改正で新たに必須となる機能は大きく3つある。（1）アクセス制御機能、（2）初期設定のパスワードの変更を促す等の機能、（3）ソフトウェアの更新機能、またはこれらの同等以上の機能である。

（1）アクセス制御機能とは、「IDやパスワードなどで認証する機能だ」と影井氏は説明する。通信送受信の設定を正規ユーザーのみが変更できるようにする必要がある。

さらに、そのパスワードについては、（2）初期設定で、デフォルトからの変更を促す機能が求められる。これは画面などを操作する中で促す必要があり、説明書などに記述するだけでは要件を満たさない。

（3）ソフトウェアの更新機能については、IoT機器に搭載されている全てのソフトウェアが対象になるわけではない。通信の送受信の機能に係るファームウェアのことだ。このファームウェアが「（攻撃者が狙う）脆弱性のポイントになるので、ファームウェアの更新機能は必須になる」と影井氏は強調する。アップデートされたファームウェアが、電源が切れて再起動した後、出荷時の初期状態に戻ることが無いようにもする必要がある。なお、ファームウェアの更新方法としては、自動更新が推奨されるが、現時点では自動更新は必須ではない。