イギリス政府が「IoTデバイスのデフォルトパスワードを廃止する規制」を発表

by rawf8

近年では、インターネットに接続してさまざまな機能を発揮するIoTデバイスが一般家庭にも普及しています。そんな中、イギリスではIoTデバイスのセキュリティを向上するため、「IoTデバイスにおける工場出荷時のデフォルトパスワードを廃止する規制」が設けられることとなりました。

Government to strengthen security of internet-connected products - GOV.UK
https://www.gov.uk/government/news/government-to-strengthen-security-of-internet-connected-products

Why the UK is banning default passwords in IoT devices - NS Tech
https://tech.newstatesman.com/security/uk-banning-default-passwords

IoT security: Your smart devices must have these three features to be secure | ZDNet
https://www.zdnet.com/article/iot-security-your-smart-devices-must-have-these-three-features-to-be-secure/

洗濯機や冷蔵庫といった家電やAIアシスタントを含めて、IoTデバイスの販売台数は年々増加する傾向にあり、2025年までに全世界で75億台ものIoTデバイスが設置されると予想されています。しかし、IoTデバイスの普及に伴って問題となっているのが、IoTデバイスのセキュリティ面での脆弱さです。

セキュリティ対策企業のDarktraceでCEOを務めるニコール・イーガン氏は、「セキュリティホールに手当てがされていないIoT端末は市場にあふれている」と指摘。観賞魚用の水槽の温度を管理するIoTサーモスタットからカジノの顧客リストが流出する事例や、カメラ付きのロボット掃除機を乗っ取って室内監視カメラとして悪用する事例が報告されています。

IoT製品が家庭に普及すると情報漏れ放題という恐ろしい未来が到来しかねない - GIGAZINE

また、ハッカーがIoTデバイスを乗っ取ってDDoS攻撃を仕掛けることも可能です。2016年には、50万台以上のIoTデバイスを乗っ取りボットネットを構築したハッカーが、毎秒1テラビットという史上空前のDDoS攻撃を行っていたことも判明しています。

50万台のIoTデバイスを乗っ取ったDDoS攻撃「Mirai」の引き金になったダメすぎるパスワード60個 - GIGAZINE

そんな中、イギリスのデジタル・文化・メディア・スポーツ省は、イギリス国内で販売される消費者向けスマートデバイスに対して、以下の3つのセキュリティ要件を満たさなくてはならないとの規制を発表しました。

◆1：インターネットに接続する全ての消費者向けデバイスのパスワードは一意であり、共通の工場出荷時設定にリセットできてはならない。

◆2：消費者向けIoTデバイスのメーカーは、誰でも脆弱性を報告できるように連絡先を公開し、脆弱性には即座に対処する必要がある。

◆3：消費者向けIoTデバイスのメーカーは、デバイスがセキュリティ更新プログラムを受信できる最も短い期限について、店頭またはオンラインで明示しなくてはならない。

by halfpoint

多くのIoTデバイスには、変更できないシンプルなデフォルトパスワードが付属しているケースがありますが、工場出荷時のパスワードを使い続けることはセキュリティ上の懸念があります。また、セキュリティの脆弱性に消費者が気づいた場合にメーカーへ連絡する手段がないケースもあるそうです。さらに、購入した製品のセキュリティ更新プログラムが突然停止してしまった場合も、消費者が所有するIoTデバイスがセキュリティホールとなり得ます。新たな規制は、これらのIoTデバイスにおける問題を防ぐ目的で儲けられており、規制に従っていない製品はイギリス国内における販売が停止される可能性があるとのこと。

今回の規制は、産業界と国営の対サイバー犯罪センターである「National Cyber Security Centre(NCSC)」が連携して開発されたものだとのこと。記事作成時点では、新たな規制がどのような法律のもとで施行されるのかは不明だとのことですが、政府は消費者を効果的に保護しつつIoTの長期的な成長をサポートする法律の実現を目指しているそうです。

NCSCで政策および広報ディレクターを務めるNicola Hudson氏は、「スマートテクノロジーは私たちの生活の中心になりつつあるため、私たちをよりよく保護するための規制は大歓迎です」「家庭に持ち込むテクノロジーが安全であり、『事前設定されたパスワードやセキュリティ更新プログラムの停止といった問題は過去のものである』という安心感を消費者に与えることができます」とコメントしました。

by methodshop

デジタル・文化・メディア・スポーツ省で政務次官を務めるMatt Warman氏は、「私たちの目的は、イギリスを世界有数のデジタル経済圏にすることです。しかし、この野心を達成するためには、人々がテクノロジーを信頼できるようにしなくてはなりません」とコメント。新たな規制によってイノベーションを妨げることなく、イギリスをオンライン上でも安全な場所にしたいとWarman氏は述べました。