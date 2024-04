2024年04月30日 11時00分 セキュリティ

IoTデバイスの「admin」や「12345」など推測が容易なデフォルトパスワードをイギリスが世界で初めて禁止



スマートテレビやスマート電球などのIoTデバイスは、家具や家電をインターネットに接続することで日常生活を便利にしてくれますが、同時にセキュリティ上のリスクをもたらす可能性もあります。イギリスでは2024年4月29日(月)に「Product Security and Telecommunications Infrastructure Act(PSTI法:製品セキュリティおよび通信インフラストラクチャー法)」の改正案が施行され、世界で初めて「IoTデバイスの推測しやすい脆弱(ぜいじゃく)なデフォルトパスワード」を禁止しました。



New laws to protect consumers from cyber criminals come into force in the UK - GOV.UK

https://www.gov.uk/government/news/new-laws-to-protect-consumers-from-cyber-criminals-come-into-force-in-the-uk



UK becomes first country to ban default bad passwords on IoT devices

https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices



The UK beefs up smart home security by going after bad default passwords - The Verge

https://www.theverge.com/2024/4/29/24144325/uk-psti-password-requirements-network-connected-devices-iot-smart-home



PCやスマートフォンのセキュリティについて考えたことがある人は多いはずですが、スマートテレビやスマート電球といったIoTデバイスのセキュリティを考えたことがある人は、それほど多くないかもしれません。しかし、IoTデバイスはインターネットやローカルの有線ネットワークに接続されているため、悪意のある攻撃者に侵入されてしまうと危険です。





2016年には、Linuxで動作するコンピューターを遠隔操作する「Mirai」と呼ばれるマルウェアが登場し、世界中のウェブカメラなどのIoTデバイスをボットネットにして分散型サービス拒否(DDoS)攻撃を仕掛ける事件が発生。悪用されたのは「admin」「12345」などの推測しやすいデフォルトパスワードが設定されたIoTデバイスであり、IoTデバイスのセキュリティの重要性を浮き彫りにしました。



なお、「Mirai」という名称は人気漫画「未来日記」に由来して付けられたそうで、Miraiを作成・公開した犯人は事件当時まだ10代の若者でした。犯人らはFBIの捜査を手伝ったことで、禁錮刑ではなく保護監察処分が言い渡されています。



IoTデバイスのセキュリティ上の懸念が高まる中、イギリス政府はIoTデバイスの安易なデフォルトパスワードを禁じるPSTI法の改正案を発表しました。



そして2024年4月29日にPSTI法の改正案が施行され、イギリスではIoTデバイスに推測可能なデフォルトパスワードを設定することが禁止されました。これにより、企業は販売するIoTデバイスに一意のデフォルトパスワードを設定するか、所有者がパスワードを設定できるようにすることが義務づけられます。また、メーカーはIoTデバイスのユーザーがセキュリティの問題を簡単に報告できる体制を整え、報告者が問題の状況やステータスの更新予定を確認できるようにする必要があります。



PSTI法に違反した企業には、最高で1000万ポンド(約19億7000万円)か「適格な全世界の収益」の4%、いずれか高い方の罰金が科せられる可能性があるとのことです。



なお、アメリカでも「USサイバートラストマーク」という新たな認証プログラムで、強固なデフォルトパスワードなどのセキュリティ要件を満たしたIoTデバイスに認証を与える予定です。しかし、USサイバートラストマークは企業に対する強制力を持つわけではないため、どれほどの効果があるのかは不明だと海外メディアのThe Vergeは述べています。



