ESET/マルウェア情報局
米カルフォルニア州で初期設定パスワードの使用を禁ずる法律制定
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された初期設定パスワードのままのインターネット接続デバイスを利用することを禁ずる法律がカリフォルニア州で制定を再編集したものです
カリフォルニア州では同州で販売されている、インターネットに接続するデバイスについて、セキュリティレベルが低いとみなされる初期設定パスワードの使用を禁止するとの法案を可決した。
「Information privacy: connected devices(情報プライバシー:コネクテッドデバイス)」法案(米国で最初のIoTに関するサイバーセキュリティ法)にもとづき、各端末のメーカーは「適切なセキュリティ機能」 を自社製品に装備し、ユーザーがすぐにその機能を利用できるよう対応が求められることになった。
すなわち、メーカーは各デバイスに対し個別のパスワードを設定して出荷するか、「デバイスを使い始める際に、新しい認証手段を生成するようユーザーに促すセキュリティ機能」を実装しなければならない。後者の対応をおこなう場合、ユーザーは自らパスワードを設定することが必要となる。
州知事であるジェリー・ブラウン (Jerry Brown) 氏が署名し、2020年初頭に施行が予定されている同法案では、製品に求める対応策について具体的なことは規定されていない。そして、セキュリティ向上のためのアップデートについても同様で、定期的なセキュリティパッチの配布を義務づけているわけでもない。しかし、同法の成立は状況の改善に向けての大きな一歩と言えるだろう。
セキュリティ対策が脆弱なデバイスは攻撃者から狙われやすい
ルーターやデジタルビデオレコーダー(DVR)、防犯カメラなどのインターネットに接続するデバイスはセキュリティレベルが低いことで知られている。特に攻撃者のターゲットとして踏み台にされやすく、被害者のワイヤレスネットワークに感染を広げる可能性すらある。
デバイスの初期設定のログイン情報には、誰もが思いつきそうなシンプルなものや、ユーザーがすぐにセットアップできるようメーカーがウェブサイトで公表しているものもある。他にも、同じブランドとして販売されているデバイスには、まったく同じデフォルトの認証情報を使用していることもある。さらには、ハードコードされたパスワードが使用されるようなことも珍しくない。
しかし、ユーザーは認証情報を変更できることを理解しつつも、個別に安全性が高いログイン情報に差し替えようとは往々にして考えないものだ。
具体的な数字を挙げると、2016年にESETが実施した1万2000台の自宅用ルーター向けの検証では、安全性が低いパスワードを使用しているデバイスが15%にも上ることが明らかになっている。
インターネットに接続するモバイルデバイスなどはセキュリティ上の問題が重視されていない傾向にあるため、ボットネットなどの攻撃に利用されやすい。2016年10月21日、米国を中心にセキュリティが脆弱なIoTデバイスを用いて、インターネットの大部分を停止させるような攻撃が発生した。そして2018年初頭には、50カ国以上の50万台にも及ぶルーターがVPNFilterと呼ばれるマルウェアに感染するような被害も発生している。
[引用・出典元]