PSTI法、パスワードに「admin」や「12345」は禁止
イギリスで2024年4月29日(月)、「Product Security and Telecommunications Infrastructure Act(PSTI法:製品セキュリティおよび通信インフラストラクチャー法)」の改正案が施行され、世界で初めて「IoTデバイスの推測しやすい脆弱なデフォルトパスワード」の使用が禁止されました。
これによって、スマホ・テレビ・スマートドアベルなどを扱うメーカーは、サイバー犯罪者からインターネット接続機器を守ることが法的に義務付けられ、製品のユーザーが安易なパスワードを設定しようとした場合、それを変更するように促さねばならなくなりました。
こうした新たな施策は、ハッカーによる消費者や企業に対する攻撃が止まない現状において、利用者が安心してスマートデバイスを利用できるようにするためのものです。その責任はメーカー側にあって、もしユーザーが安易なパスワードを設定しようとしても、設定できないようにしなければなりません。またメーカーはバグや問題を報告するための連絡先を公表する義務や、セキュリティ・アップデートの時期について透明性を確保する義務も負うことになるとのことです。
過去には145,000台のIoTデバイスをボットネット化される
過去(2016年)にはLinuxで動作するコンピューターを遠隔操作する「Mirai」と呼ばれるマルウェアが登場、世界中のウェブカメラなど145,000台のIoTデバイスをボットネットにして分散型サービス拒否(DDoS)攻撃を仕掛ける事件が発生しています。
悪用されたのは「admin」「12345」などの推測しやすいデフォルトパスワードが設定されたIoTデバイスであり、IoTデバイスのセキュリティの重要性が浮き彫りとなりました。
イギリスでは世帯の57%がスマートTV、53%が音声アシスタント、49%がスマートウォッチまたはフィットネスリストバンドを所有しており、この新体制は社会と経済に対するこれらの脅威に正面から取り組むという政府の取り組みを強化していそうです。
日本でもテレビや音声アシスタントなどが急速に普及していますので、こうした対策を急ぐ必要があるのではないでしょうか。