先週の「IoT機器のセキュリティ」記事の掲載とほぼ同じタイミングでloT機器のセキュリティに大きな意味を持つニュースが飛び込んできましたので、今回はそれをご紹介します。
そのニュースとは、米国カリフォルニア州で、「2020年1月1日より消費者向けの全てのインターネット接続機器の新製品で、従来のような初期パスワードを設けることを禁止する」という2017年より州議会で審議されてきた法案が、2018年10月1日に州議会を通過し、同州のジェリー・ブラウン知事が署名したことで正式な発効が決まったということです。
IoT機器の多くでは従来、ネット接続の際の初期パスワードが「admin」とか「123456」などといった安易なものに設定された状態で、出荷されていました。
メーカーとしては購入したユーザーがパスワード設定を変更するように勧めていましたが、実際にはパスワードを変更するユーザーは非常に少なかったため、Miraiなどのマルウェアが安易な初期パスワードを破り、IoT機器乗っ取る事態を増大させていました。
これを世界ではじめてカリフォルニア州が禁止し、初期パスワードは機器ごとに違うものを設定し、さらにユーザーがその機器を最初に使用する時には、ユーザーが独自のパスワードに変更しないと機器を使えないようにすることが州法で強制されることになったのです。
世界の中の1国の、その中の1つの州での州法にしかすぎませんが、AppleやGoogle、Yahooをはじめとした錚々たるグローバルブランドのIT企業が本社などのオフィスを置くことで有名なシリコンバレーを有するカリフォルニア州での法律なので、州法とは言えども、世界的な波及力を持つことは容易に想像できます。
IoT機器やネットワーク機器などのメーカーは2020年に向け、対応に追われることになるでしょう。
IoT機器のセキュリティの問題は、初期パスワードだけの問題ではなく、制御ソフト等の脆弱性が発覚しても、ファームウェアアップデートを中小メーカーやユーザーがちゃんと行わないことにも原因があるので、今回カリフォルニア州が決定した初期パスワードの制限だけでは、IoT機器へのマルウェアの攻撃が解決することはありませんが、それでもIoT機器のセキュリティ対策に関して、一歩対策が進められたとは言えるでしょう。
このトピックをひとつの契機として、今後のIoT機器のセキュリティ対策に関する、メーカーとユーザー双方の意識レベルが高まっていくことに期待したいと思います。