NICT の IoT 機器調査は辞書攻撃もする？

nict

以前、ポートスキャンをするという話だった NICT の IoT 機器のセキュリティ調査は、いつの間にか辞書攻撃もするという話になっているようです。

総務省ＩｏＴ機器に無差別侵入し調査へ前例ない調査に懸念も | NHKニュース

サイバー攻撃対策の一環として、総務省は家庭や企業にあるインターネット家電などのいわゆる「ＩｏＴ機器」に無差別に侵入して対策が不十分な機器を洗い出す、世界でも例のない調査を行うことになりました。しかし、実質的に不正アクセスと変わらない行為を特例的に国が行うことに懸念の声もあがっています。

具体的な実施内容が書かれている資料を探したところ国立研究開発法人情報通信研究機構法（平成11年法律第162号）附則第８条第２項に規定する業務の実施に関する計画の認可申請の概要というものが見つかりました。

これによると、NICT が実施するのは以下の2点で、普通の人がやると不正アクセス行為の禁止等に関する法律に引っかかるようなものです。

日本国内の約２億のグローバルIPアドレス（IPv4）を対象として、それぞれのIPアドレスに係る機器への接続要求を行い、セッションを確立できるか確認。
過去に大規模なサイバー攻撃に用いられたＩＤ、パスワードの組合せ約１００通りを入力。

ちなみに特定アクセス行為の送信元の電気通信設備に割り当てられるアイ・ピー・アドレスは 41 個挙げられているので、スキャンされるのがイヤな場合にはフィルタしてしまえばよいでしょう。公開されている IP アドレスを先日の集約スクリプトをで CIDR 表記にすると以下のような感じになります。

231.215.11/32
231.215.12/31
231.215.14/32
231.216.179/32
231.216.180/31
231.216.182/32
231.216.187/32
231.216.188/31
231.216.190/32
231.216.219/32
231.216.220/31
231.216.222/32
231.226.163/32
231.226.164/31
231.226.166/32
231.226.171/32
231.226.172/31
231.226.174/32
231.227.195/32
231.227.196/31
231.227.198/32
231.227.211/32
231.227.212/31
231.227.214/32
231.227.219/32
231.227.220/31
231.227.222/32
231.227.226/31
231.227.228/31
231.227.230/32