野放しのスマートデバイス セキュリティを強化する規制とは

インターネットに接続されたスマートデバイスはサイバーセキュリティの悪夢だと言われることがある。PCやサーバと比較して対策が遅れているためだ。政府はどのような対策を進めるのだろうか。

[David Jones，Cybersecurity Dive]

　企業や家庭ではPCやサーバ以外に、インターネットに接続されたさまざまなスマートデバイスを利用している。

　PCやサーバと比べてこれらのスマートデバイスのサイバー防御は遅れている。IoTデバイスに侵入して大規模なDDoS攻撃を開始した「Mirai」のようなマルウェアは珍しくない。IoTデバイスを狙った攻撃は日本国内に限っても、2023年時点で前年比68％も増加した。

野放しのスマートデバイス　セキュリティを強化する規制とは

　PCやPCで動作するソフトウェアは「セキュリティ・バイ・デザイン」のように企画、開発時からセキュリティを埋め込むように開発手法が変わってきた。スマートデバイスでもそのような変化を促すために、政府が動いた。

　2025年1月7日、ホワイトハウス（米連邦政府）は「the U.S. Cyber Trust Mark」を発表した（注1）。これは家庭や企業で使用されるインターネットに接続するスマートデバイスのセキュリティに関する警告を消費者に提供する任意のラベリングプログラムだ。

・バイデン政権からトランプ政権に移行後、ホワイトハウスが公開していた注1の発表資料は閲覧できなくなっている（2025年1月17日時点のInternet Archiveの内容を参照）。

サイバーセキュリティラベルの一例（提供：FCC）

the U.S. Cyber Trust Markの概要

　スマートテレビやセキュリティカメラシステム、音声アクティブアシスタントなどのスマートデバイスは広く使われている。本プログラムは製造業者が設計や開発の段階でより安全なデバイスを作ることを奨励する方法として設計された。

　近年、米国当局はスマートデバイスの普及により、重要なビジネスや消費者が、botネットやその他の悪質な行為を含む犯罪や国家に関連する脅威にさらされているという深刻な懸念を表明している。

　ホワイトハウスでサイバー領域と新興技術を担当するアン・ニューバーガー氏（国家安全保障副補佐官）は、2025年1月7日のメディアブリーフィングで、次のように述べた。

　「コンサルティング企業Deloitteの最近の研究によると、平均的な米国の家庭は現在、平均して21台のスマートデバイスを使用している」（注2）

　同ブリーフィングで、ニューバーガー氏は記者に対して「これらの製品は大きな利益をもたらす一方で、それぞれがデジタル領域における（攻撃の）入口となり、積極的に活動するサイバー犯罪者に狙われている」と語った。

　ニューバーガー氏によると、ホワイトハウスは行政命令に取り組んでおり、2027年以降、連邦政府はthe U.S. Cyber Trust Markのプログラムの基準を満たす製品のみを購入することになるという。

　「このように、われわれは米国政府による大規模な技術購入を通じて、IoT市場の安全性を高める取り組みを進めていこうと考えている」（ニューバーガー氏）

　the U.S. Cyber Trust Markのプログラムは、2024年に連邦通信委員会（FCC）によって超党派の全会一致で可決され（注3）、バイデン政権の国家サイバーセキュリティ戦略の重要な一部と見なされている。

　FCCは、2030年までに250億台のスマートデバイスが使用されるようになるというデータを引用した。また、2021年上半期にIoTデバイスに対して15億回の攻撃が試みられたという第三者機関の報告も引いた。

　デバイスの普及は攻撃の対象となる領域を拡大し、botネットが広がる潜在的な足場になってしまう。

　2024年9月に連邦捜査局（FBI）は、「Flax Typhoon」と呼ばれる国家とつながりのある脅威グループが支援するbotネットを破壊した（注4）。このbotネットは、ストレージデバイスやビデオレコーダーなどのスマートデバイスを悪用し、何千ものターゲットに対してサイバースパイ活動を仕掛けていた。

プログラムの仕組み

　the U.S. Cyber Trust Markは、エアコンや冷蔵庫、食洗機、ヒートポンプのエネルギー効率を評価するために作られた「the Energy Star program」と同様の運用を想定して設計された。

　Best BuyやAmazonなどの小売業者は、the U.S. Cyber Trust Markのラベルが付いた製品を強調するために、このプログラムに協力する。米国と欧州連合（EU）も、それぞれの市場において信頼できるデジタル製品を認定するための協定を結んでいる。

　消費者向けの製品やサービスを評価する米国の非営利団体Consumer Reportsのジャスティン・ブルックマン氏（技術政策ディレクター）によると、the U.S. Cyber Trust Markは、製造業者が自社製品のソフトウェアをどのくらいの期間にわたって更新するかという情報も消費者に届けるという。近年、攻撃者はソフトウェアの更新期間が終了し、バグの修正が行われなくなったエンド・オブ・ライフの状態にある製品を狙うことが増えている。

　2024年12月にFCCは（注5）、11社がサイバーセキュリティラベルの管理者として条件付きで承認されたと発表した。その中で、セキュリティコンサルティングサービスを提供するUL Solutionsが主たる管理者を務めることになった。

　製造業者は、国立標準技術研究所（NIST）が定めた基準を使用してスマートデバイスをテストに出すことができる。製品がセキュリティ基準を満たしている場合、the U.S. Cyber Trust Markの認証を得られる。

出典：White House program to certify the security of IoT devices goes live（Cybersecurity Dive）
注1：White House Launches “U.S. Cyber Trust Mark”, Providing American Consumers an Easy Label to See if Connected Devices are Cybersecure（The White House）
注2：Balancing act: Seeking just the right amount of digital for a happy, healthy connected life（Deloitte insights）
注3：FCC approves voluntary cyber labeling program for smart home IoT devices（Cybersecurity Dive）
注4：US authorities take down a Mirai-variant botnet tied to DDoS threat（Cybersecurity Dive）
注5：U.S. Cyber Trust Mark（FCC）

原文へのリンク