メディア
HRTech
Microsoft 365
クラウドERP
生成AI
ゼロトラスト
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

ハッカーたちを黙らせるカリフォルニアの新法律とは?:486th Lap金曜Black★ピット

米カリフォルニア州で「IoT新法」ともいえる法律が成立したのは、ある意味で必然だった。メーカーに対して何を禁止したのか。

» 2018年10月12日 08時00分 公開
[キーマンズネット]

 2018年9月28日、米カリフォルニア州で新しい法律が成立した。「IoT新法」ともいえる法律の成立は、ある意味で必然だといえる。

 ここ数年、悪意のあるハッカーたちは、PCやサーバよりもIoT機器やWi-Fiルーターのようなネットワークに接続できる機器を主なターゲットとして狙ってきた。自動的に侵入してマルウェアを仕込み、さらに広範囲のデバイスを乗っ取り、ボットネットを構築して特定のサイトやサービスにDDoS攻撃を仕掛けるのだ。

 2016年10月、悪名高い「Mirai」が10万台ものIoT機器を乗っ取り、DNSサービス大手の米DynにDDoS攻撃を仕掛けたことで世界中のネットが大混乱に陥った。なぜハッカーたちはIoT機器を狙うのか。そこに今回のIoT新法が成立した大きな理由がある。

 Wi-Fiルーターやスマートスピーカー、Webカメラ、HDDレコーダーなど、とにかくほとんどの電子機器がネットにつながる時代だ。大きな問題となるのは、それらの機器のネットワーク設定などを行うための「デフォルトパスワード」が実にワンパターンで分かりやすいものであるということだ。

 「admin」「password」「123456」など、あまりにも安易なデフォルトパスワードが設定されることが多く、しかもメーカーによっておおよその方針が決まっている。だからこそハッカーたちは「公然の秘密」となっているパスワードを悪用して、IoT機器へ容易に侵入してしまうのだ。

 カリフォルニア州の新法は、安易なデフォルトパスワードの設定を厳格に禁じる法律だ。同州で2020年から生産される全ての電子機器には共通したデフォルトパスワードを設定できなくなる。デバイス1台ごとにユニークなパスワードを設定しなければならないのだ。さらに購入ユーザーがデフォルトパスワードで初期設定を行ったら、パスワードを変更しない限り利用を開始できない仕組みにしなければならない。

 これでも「ぬるい!」と断言する専門家もいる。ハッカーがIoT機器を狙うのは必ずしも安易なデフォルトパスワードだけではないからだ。設計上の脆弱(ぜいじゃく)性を狙うハッカーも少なくない。

 脆弱性の存在はIoT機器に限らない。しかし一部のIoT機器にはソフトやファームウェアをアップデートする機能がない。脆弱性が見つかっても穴が空きっぱなしというケースが少なくないのだ。専門家は、IoT新法に「アップデートの義務化」も盛り込むべきだったとする。

 デフォルトパスワードのユニーク化と変更必須化だけでも、かなりの効果が期待できるだろう。専門家の指摘するような弱点はあるにしても、現状でできることに対処する、強制力のある法律という面では評価すべきだ。わが国でも同様の対処が必要かもしれないな。

上司X

上司X: 米国でIoT新法が成立したという話だよ。


ブラックピット

ブラックピット: なるほど。取りあえずIoT機器はユニークなデフォルトパスワードを採用すべしと。


上司X

上司X: そして、それを変更しないと使い始られないよ、というね。


ブラックピット

ブラックピット: こういうことを法律で決めなきゃならない段階に来ているってことですよね。


上司X

上司X: そうなんだよな。ルーターやらIoT機器のパスワード問題は以前から言われていたけれど、改善されないまま時が過ぎゆくばかりだった。


ブラックピット

ブラックピット: 僕も自宅にWi-Fiルーターを何台か設置しましたが、デフォルトパスワードは「password」でしたね。お気に入りのメーカーがバレてしまう。


上司X

上司X: 機器のデフォルトパスワード一覧を掲載するサイトもあるぐらいだからな。ユーザーが変更しないと、ハッカーにエサをあげてるようなもんだ。それからIoT機器のバージョンアップ問題だな。脆弱性の穴をすぐに修正できないのが問題だと。


ブラックピット

ブラックピット: 確かに、ルーターならたまにファームウェア更新しますけど、他の機器ではやりませんね。IoT機器が急速に普及しましたが、問題山積じゃないですか。


上司X

上司X: だからこその法案なんだろう。日本だと法律よりも、こういう動きがあることをメーカーが察知して、自主的な対応をすると俺は予想するけどね。キミも帰ったらパスワードを変更しておくのだな。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。