パスワード、我々も考え直そう。
イギリス政府がIoT業界に一石を投じる法案を提出し、世界の注目を集めています。イギリス議会に提出されたのは「Product Security and Telecommunications Infrastructure Bill (PSTI)」。スマートテレビ、スマートスピーカー、カメラなどインターネットに接続可能の端末を、安易なデフォルトパスワード設定で出荷することを禁じる法案です。サイバーセキュリティの向上が目的。
法案が可決されれば、多くのIoT端末のデフォルトパスワードを、それぞれ個別のユニークパスワードにする必要が出てきます。これに反した企業は、1000万英ポンド(約15億円)、またはグローバル収益の4%の罰金あり。法案には、パスワードの他、セキュリティアップデートに関する透明性なども盛り込まれています。
イギリスのメディア・データ・デジタルインフラ庁のJulia Lopez大臣は、プレスリリースにてこう語っています。
消費者の多くは、売られている製品は安全なのだろうと思っています。しかし、実際は多くの製品のセキュリティは万全ではなく、消費者は詐欺・盗難のリスクに晒されているのです。
安易なパスワードは狙われやすい
安易なパスワードはダメ! と言われて耳が痛い人は、残念ながら少なくないはず。サイバーセキュリティのSymantecの調査によれば、IoT端末でなんらかの攻撃を受けた端末の55%が「123456」というパスワード、3%が「admin」だったといいます。多くのユーザーがデフォ設定のパスワードのまま使っている、または自分で設定するパスワードが安易すぎるということでしょう。また、同じくサイバーセキュリティを手がけるPalo Alto Networksからは、IoT端末のトラフィックの98%が暗号化されていないというレポートもでています。
近年、IoT端末・スマート端末の価格が下がり、より多くの消費者が手に取れるようになってきたことで、問題はより深刻に。2030年には世界のIoT端末の数は200億を超えるという予想もあります。カスペルスキー研究所いわく、2021年上半期だけですでに15億件のIoTアタックが確認されており、この数は2020年下半期の2倍。恐るべきスピードで端末数が増え、それに比例してサイバーアタックも増えているのです。
メーカーはユーザーの責任だと言っている
一方で、IoT企業側にはハッキングによるデータブリーチはユーザーに責任があるとする声も…。例えば、Ringはユーザーによるパスワードの使い回しが原因だと主張し、2019年には集団訴訟に発展。まぁ、RIngはその後、二段階認証やエンドツーエンド暗号化などセキュリティ強化に努めていますが。
てことで、イギリス政府のデフォパスワードなんとかしろ! という法案は、サイバーセキュリティと人間の油断というバランスを鑑みて非常に的を射ているのではないでしょうか。アメリカでもIoT端末に関する法的取り組みは進んでいますが、今回のイギリスの法案が優れているのは、IoT端末製造企業に広く適用できる、明確な罰をもうけている点にあるのでしょう。もちろん、企業側にすべてを任せるのではなく、我々消費者も自身のパスワードに対する意識を変えていく必要があります。
Source: UK.gov
