「password」や「admin」など安易なパスワードをデフォルトに設定することを禁じる法案をイギリス政府が提出

イギリス政府が、スマートホーム機器のセキュリティ向上を目的とした「製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案」を議会に提出したと発表しました。この法案ではスマートフォンやテレビ、スマートスピーカーなどのデジタルデバイスのデフォルトパスワードに「password」「admin」などの推測しやすい文字列を設定することが禁止され、違反した企業に対しては厳しい罰金が科されます。

New cyber laws to protect people’s personal tech from hackers - GOV.UK
https://www.gov.uk/government/news/new-cyber-laws-to-protect-peoples-personal-tech-from-hackers

New UK law will hit smart home device makers with big fines for using default passwords | Engadget
https://www.engadget.com/uk-law-imposes-stiff-fines-on-insecure-smart-home-devices-200031873.html

イギリス政府は、インターネットに接続できるハイテク製品の使用率は近年劇的に増加しており、2030年までに世界全体で最大500億デバイスが使われるようになると予測しています。しかし、こうした接続可能な製品に適切なセキュリティ対策を講じているのはわずか20％ほどしかないとイギリス政府は述べています。イギリスの国家サイバーセキュリティセンターは、2021年前半だけでイギリス国内のIoTデバイスへの侵害が15億回も行われており、被害件数がすでに2020年のほぼ2倍に達していると報告しています。

今回提出されたPSTI法案は2020年に起草されたもので、「password」「admin」といった古典的なものを含む推測しやすいデフォルトパスワードの使用を禁止し、「パスワードはデバイスに一意的かつ工場出荷時の設定にリセットできないものでなければならない」と定めています。規制の対象となる製品はスマートフォン、ルーター、監視カメラ、ゲーム機、ホームスピーカー、ベビーモニター、洗濯機、冷蔵庫など、IoT対応の家電製品です。また、スマート電球やウェアラブルフィットネストラッカーなど、直接インターネットに接続しない製品も対象となります。

メーカーは販売時に顧客に対してセキュリティパッチやアップデートの最低必要期間を伝達し、常に最新の情報を提供することが義務付けられます。もし製品にセキュリティパッチやアップデートが含まれていない場合は、その事実を開示する必要があります。また、メーカーはバグや脆弱(ぜいじゃく)性を発見したセキュリティ研究者が連絡する窓口を用意する必要があります。違反した企業には最大1000万ポンド(約15億円)あるいは総売上高の4％分の罰金が科されることとなり、継続的に違反した場合は1日最大2万ポンド(約300万円)の罰金が科せられます。また、この法律はメーカーだけではなく、ハイテク製品をイギリスに輸入販売する小売企業にも適用されます。

イギリスのメディア・データ・デジタルインフラストラクチャ担当大臣であるジュリア・ロペス氏は「ハッカーは人々のスマートデバイスに日々侵入しようとしています。私たちは販売されている製品は安全で安心だと思いがちですが、実際は詐欺や盗難の危機にさらされています。PSTI法案は、電話や暖房、食洗機やドアベルに至るまで、日常生活にある技術に厳しいセキュリティ基準を設け、違反した人には巨額の罰金を科します」とコメントしています。