セキュリティ

IoTデバイスの「いつまでセキュリティアップデートが施されるか分からない問題」を解決に導くセキュリティラベルについて連邦通信委員会のメンバーが解説


2023年7月19日、バイデン政権がIoTデバイス向けの新しいサイバーセキュリティラベル付与プログラムを発表しました。スマートテレビを始めとするスマート家電に存在するセキュリティ上の脆弱(ぜいじゃく)性を定期的に是正することが可能になるこのプログラムについて、連邦通信委員会(FCC)のメンバーであるネイサン・シミントン氏が大衆から意見を募りました。

Ask HN: I’m an FCC Commissioner proposing regulation of IoT security updates | Hacker News
https://news.ycombinator.com/item?id=37392676

身の回りにあるモノをインターネットにつないでスマートフォンやPCで管理できるようにするIoTデバイスには、常にセキュリティの脅威がつきまといます。メーカーには脆弱性が発見され次第迅速に対応することが求められていますが、シミントン氏いわく「多くのメーカーがその努力を怠っている」とのこと。

メーカーが脆弱性を修正するパッチを設計したとしても、それがユーザーのデバイスに適用されるまでにはかなり時間がかかることがあり、またメーカーが早々にセキュリティアップデートを打ち切ってしまうことも少なくないそうです。こうした「セキュリティアップデートのサポート期間」は多くの場合、消費者に知らされることはなく、十分な情報を収集するユーザーでさえ、自分のデバイスがいつまで安全なのかが分からないことがあります。


そうした問題を改善するため、バイデン政権下で発表されたのがスマートデバイス向けのセキュリティラベル表示プログラムです。このプログラムは、一定のセキュリティ基準を満たしたデバイスに「USサイバートラストマーク」というラベルを付けて他の製品との差別化を図り、消費者がより安全な製品を選択できるようにするものです。

ただラベルを付けるだけではなく、ラベルと一緒にQRコードを表示することも義務づけられます。消費者がこのQRコードを読み込むと、デバイスに関する最新の情報が表示され、デバイスのセキュリティアップデート期間に加え、デバイスが収集するユーザーデータなどの詳細情報を確認できます。FCCは、デバイスがプログラムに適しているかどうかを毎年認証し直すことを求めており、実現すれば、メーカー側はこれまで以上に積極的なセキュリティ対策を講じる必要が生じます。

バイデン政権がIoTデバイス向けの新しいセキュリティ基準準拠ラベル「USサイバートラストマーク」を発表 - GIGAZINE


上記のプログラムは2024年からの実施に向けて、パブリックコメントを募集しています。こうした状況の中、プログラムを推進してきたシミントン氏がソーシャルニュースサイトのHacker Newsに現れ、同プログラムに関する議論を呼びかけました。

シミントン氏は「私は、セキュリティラベル表示プログラムの基準のひとつに、消費者がセキュリティアップデートを受けられる期間を開示することを含めるよう奮闘してきました。消費者により良い情報を提供することに加え、このラベルに記載されたサポート期間を含む約束事が、契約や不法行為訴訟、その他の法律において法的強制力を持つことを望んでいます」と説明。

さらに「多くのメーカーが、たとえ自主的なものであっても、セキュリティアップデート期間を約束することに反対しています。これらのメーカーはFCCと深い関係を築いているため、FCCとホワイトハウスはメーカーに対し強い態度に出ることはないでしょう。そのため、皆さんの意見が重要になるのです。皆さんはセキュリティ問題に詳しく、『なぜこういったことについてルールがないのか』との気持ちを常に抱いているはずです。この機会に、あなたが考えるルールについてコメントを残してください」と続け、パブリックコメントへ意見を提出するよう求めています。


シミントン氏の投稿に対し、Hacker News上では様々なコメントが寄せられています。あるユーザーは「私はファームウェア・エンジニアですが、FCCはセキュリティ上の欠陥をどのように定義するのでしょうか?修正が必要な欠陥がある場合にのみアップデートが配布されるべきと考えるのでしょうか?リモートアップデートの仕組みは、それ自体がセキュリティ上の問題を引き起こす可能性があります。したがって、所有者がデバイスに物理的にアクセスできる場合にのみアップデートが可能なデバイスもあるはずです。所有者が十分なアップデートを行わなかった脆弱なデバイスへの攻撃によって引き起こされた損害について、製造者は責任を負うのでしょうか?」とコメントしています。

また、別のユーザーは「ウクライナからの書き込み」と前置きし、「現代の戦争の一部として、サイバー犯罪が極端に増加していると言わざるを得ません。IoTデバイスのハッキングは、サイバー犯罪の非常に大きな割合を占めています。電波を発するデバイスを敵対する諜報機関がハッキングすると、デバイスの座標が攻撃目標として設定される可能性があります」と述べ、IoTデバイスに迫るセキュリティの脅威について心中を吐露しました。


他にも「そもそもソフトウェアに脆弱性があれば何年アップデートを続けてもほとんど意味がなく、メーカーが期間を完全に守ってくれる保証もありません。情報開示のルールよりも、すべてのIoTデバイスが販売前に満たすべき最低限のセキュリティ基準が必要だと思います。これは、メーカーに対し、後でパッチを当てることを約束させるだけでなく、より安全なデバイスを先行して構築する負担を強いるものになります。これにより、消費者はセキュリティの知識がなくとも安全なデバイスを使用することができます。これを履行するためのコストに関するメーカーの懸念には同情しますが、早急に行動を起こせば、市場がさらに拡大する前にIoT災害を防ぐことができます。最低限必要なセキュリティを提案することを検討していただきたい」などのコメントも寄せられています。

この記事のタイトルとURLをコピーする

・関連記事
8300万台以上のIoT機器が影響を受ける脆弱性が発見される、防犯カメラの映像を盗み取られる可能性も - GIGAZINE

Google・Apple・Amazonらが参加するIoT標準団体が組織改編、スマートホームの新規格「Matter」を発表 - GIGAZINE

数百万台のIoTや産業用デバイスに影響をおよぼす脆弱性「NAME:WRECK」 - GIGAZINE

100万台以上のIoTデバイス・産業デバイスに影響する33個の脆弱性「AMNESIA:33」が発見される - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1p_kr

You can read the machine translated English article here.