SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

初期設定パスワードのままのインターネット接続デバイスを利用することを禁ずる法律がカリフォルニア州で制定

この記事をシェア

ルーターやモバイルデバイスなどのインターネットに接続する端末には、初期設定のパスワードのままで利用されているものもある。初期設定のパスワードにはセキュリティレベルがあまりにも低すぎたり、中にはオープンになっているものまで存在する。この法律の目的は、こうしたパスワードを狙った攻撃を阻止することにある。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

初期設定パスワードのままのインターネット接続デバイスを利用することを禁ずる法律がカリフォルニア州で制定

カリフォルニア州では同州で販売されている、インターネットに接続するデバイスについて、セキュリティレベルが低いとみなされる初期設定パスワードの使用を禁止するとの法案を可決した。

「Information privacy: connected devices(情報プライバシー:コネクテッドデバイス)」法案(米国で最初のIoTに関するサイバーセキュリティ法)にもとづき、各端末のメーカーは「適切なセキュリティ機能」 を自社製品に装備し、ユーザーがすぐにその機能を利用できるよう対応が求められることになった。

すなわち、メーカーは各デバイスに対し個別のパスワードを設定して出荷するか、「デバイスを使い始める際に、新しい認証手段を生成するようユーザーに促すセキュリティ機能」を実装しなければならない。後者の対応をおこなう場合、ユーザーは自らパスワードを設定することが必要となる。

州知事であるジェリー・ブラウン (Jerry Brown) 氏が署名し、2020年初頭に施行が予定されている同法案では、製品に求める対応策について具体的なことは規定されていない。そして、セキュリティ向上のためのアップデートについても同様で、定期的なセキュリティパッチの配布を義務づけているわけでもない。しかし、同法の成立は状況の改善に向けての大きな一歩と言えるだろう。

セキュリティ対策が脆弱なデバイスは攻撃者から狙われやすい

ルーターやデジタルビデオレコーダー (DVR)、防犯カメラなどのインターネットに接続するデバイスはセキュリティレベルが低いことで知られている。特に攻撃者のターゲットとして踏み台にされやすく、被害者のワイヤレスネットワークに感染を広げる可能性すらある。

デバイスの初期設定のログイン情報には、誰もが思いつきそうなシンプルなものや、ユーザーがすぐにセットアップできるようメーカーがウェブサイトで公表しているものもある。他にも、同じブランドとして販売されているデバイスには、まったく同じデフォルトの認証情報を使用していることもある。さらには、ハードコードされたパスワードが使用されるようなことも珍しくない。

しかし、ユーザーは認証情報を変更できることを理解しつつも、個別に安全性が高いログイン情報に差し替えようとは往々にして考えないものだ。

具体的な数字を挙げると、2016年にESETが実施した12,000台の自宅用ルーター向けの検証では、安全性が低いパスワードを使用しているデバイスが15%にも上ることが明らかになっている。

インターネットに接続するモバイルデバイスなどはセキュリティ上の問題が重視されていない傾向にあるため、ボットネットなどの攻撃に利用されやすい。2016年10月21日、米国を中心にセキュリティが脆弱なIoTデバイスを用いて、インターネットの大部分を停止させるような攻撃が発生した。そして2018年初頭には、50カ国以上の50万台にも及ぶルーターがVPNFilterと呼ばれるマルウェアに感染するような被害も発生している。

この記事をシェア

ネットワークのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!