IoTデバイスの「admin」や「12345」など推測が容易なデフォルトパスワードをイギリスが世界で初めて禁止
スマートテレビやスマート電球などのIoTデバイスは、家具や家電をインターネットに接続することで日常生活を便利にしてくれますが、同時にセキュリティ上のリスクをもたらす可能性もあります。イギリスでは2024年4月29日(月)に「Product Security and Telecommunications Infrastructure Act(PSTI法:製品セキュリティおよび通信インフラストラクチャー法)」の改正案が施行され、世界で初めて「IoTデバイスの推測しやすい脆弱(ぜいじゃく)なデフォルトパスワード」を禁止しました。
New laws to protect consumers from cyber criminals come into force in the UK - GOV.UK
https://www.gov.uk/government/news/new-laws-to-protect-consumers-from-cyber-criminals-come-into-force-in-the-uk
UK becomes first country to ban default bad passwords on IoT devices
https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices
The UK beefs up smart home security by going after bad default passwords - The Verge
https://www.theverge.com/2024/4/29/24144325/uk-psti-password-requirements-network-connected-devices-iot-smart-home
PCやスマートフォンのセキュリティについて考えたことがある人は多いはずですが、スマートテレビやスマート電球といったIoTデバイスのセキュリティを考えたことがある人は、それほど多くないかもしれません。しかし、IoTデバイスはインターネットやローカルの有線ネットワークに接続されているため、悪意のある攻撃者に侵入されてしまうと危険です。
2016年には、Linuxで動作するコンピューターを遠隔操作する「Mirai」と呼ばれるマルウェアが登場し、世界中のウェブカメラなどのIoTデバイスをボットネットにして分散型サービス拒否(DDoS)攻撃を仕掛ける事件が発生。悪用されたのは「admin」「12345」などの推測しやすいデフォルトパスワードが設定されたIoTデバイスであり、IoTデバイスのセキュリティの重要性を浮き彫りにしました。
毎秒1テラビットという史上空前のDDoS攻撃が発生、攻撃元はハッキングされた14万5000台ものウェブカメラ - GIGAZINE
なお、「Mirai」という名称は人気漫画「未来日記」に由来して付けられたそうで、Miraiを作成・公開した犯人は事件当時まだ10代の若者でした。犯人らはFBIの捜査を手伝ったことで、禁錮刑ではなく保護監察処分が言い渡されています。
IoTデバイスのセキュリティ上の懸念が高まる中、イギリス政府はIoTデバイスの安易なデフォルトパスワードを禁じるPSTI法の改正案を発表しました。
「password」や「admin」など安易なパスワードをデフォルトに設定することを禁じる法案をイギリス政府が提出 - GIGAZINE
そして2024年4月29日にPSTI法の改正案が施行され、イギリスではIoTデバイスに推測可能なデフォルトパスワードを設定することが禁止されました。これにより、企業は販売するIoTデバイスに一意のデフォルトパスワードを設定するか、所有者がパスワードを設定できるようにすることが義務づけられます。また、メーカーはIoTデバイスのユーザーがセキュリティの問題を簡単に報告できる体制を整え、報告者が問題の状況やステータスの更新予定を確認できるようにする必要があります。
PSTI法に違反した企業には、最高で1000万ポンド(約19億7000万円)か「適格な全世界の収益」の4%、いずれか高い方の罰金が科せられる可能性があるとのことです。
なお、アメリカでも「USサイバートラストマーク」という新たな認証プログラムで、強固なデフォルトパスワードなどのセキュリティ要件を満たしたIoTデバイスに認証を与える予定です。しかし、USサイバートラストマークは企業に対する強制力を持つわけではないため、どれほどの効果があるのかは不明だと海外メディアのThe Vergeは述べています。
バイデン政権がIoTデバイス向けの新しいセキュリティ基準準拠ラベル「USサイバートラストマーク」を発表 - GIGAZINE
◆フォーラム開設中
本記事に関連するフォーラムをGIGAZINE公式Discordサーバーに設置しました。誰でも自由に書き込めるので、どしどしコメントしてください!Discordアカウントを持っていない場合は、アカウント作成手順解説記事を参考にアカウントを作成してみてください!
• Discord | "「簡単すぎるデフォルトパスワード」の法規制、日本でも実施してほしい?やめてほしい?" | GIGAZINE(ギガジン)
https://discord.com/channels/1037961069903216680/1234796109163921419
・関連記事
イギリス政府が「IoTデバイスのデフォルトパスワードを廃止する規制」を発表 - GIGAZINE
「password」や「admin」など安易なパスワードをデフォルトに設定することを禁じる法案をイギリス政府が提出 - GIGAZINE
50万台のIoTデバイスを乗っ取ったDDoS攻撃「Mirai」の引き金になったダメすぎるパスワード60個 - GIGAZINE
「史上類を見ないレベル」のDDoS攻撃を引き起こしたマルウェア「Mirai」を作成し逮捕されたハッカーがFBIに協力していたと判明 - GIGAZINE
引っ越し先の部屋にあった謎のIoT機器の正体をエンジニアが明らかにする過程 - GIGAZINE
バイデン政権がIoTデバイス向けの新しいセキュリティ基準準拠ラベル「USサイバートラストマーク」を発表 - GIGAZINE
IoTデバイスの「いつまでセキュリティアップデートが施されるか分からない問題」を解決に導くセキュリティラベルについて連邦通信委員会のメンバーが解説 - GIGAZINE
スマートホーム規格「Matter」の策定団体であるCSAがIoT機器のセキュリティ標準規格を発表 - GIGAZINE
・関連コンテンツ
