カリフォルニア州でインターネット接続デバイスを製造する企業は、オンラインセキュリティ全体を強化するため、2020年からデバイスに固有のパスワードを設定することが義務付けられる。
これは、カリフォルニア州知事ジェリー・ブラウン氏が最近署名して成立した「接続デバイスのセキュリティ」という新しい法案 SB-327 の主な影響です。
この法律は、販売され家庭用無線ネットワークに接続される何百万台もの新しい消費者向け機器のずさんなセキュリティという、ますます深刻化する問題に対処するための米国政府の取り組みである。
近年、NotPetyaからWannaCryptに至るまで、自動化されたマルウェアが世界中で大混乱を引き起こし、一般ユーザーのPCから病院のネットワーク全体まで、あらゆるものをシャットダウンさせています。システムをハッキングして機密情報を盗むだけでなく、悪意のある人物は、侵害されたデバイスで構成された巨大なグローバルネットワークを構築し、サービス拒否攻撃を実行することにも成功しています。
この新しい法律は、大量感染につながる最も一般的な経路の 1 つである、デフォルト パスワードやハードコードされたパスワードに対処することを目的としています。
例えば防犯カメラのメーカーにとっては、すべてのデバイスに同じパスワードを設定し、ユーザーにパスワード変更を促す方がはるかに簡単でシンプルです。しかし、残念ながらほとんどの消費者はそれを気にせず、デバイスを起動してワイヤレス接続するだけで放置してしまいます。こうして、何百万倍にも増えたデバイスは、攻撃に対して無防備な状態になってしまうのです。
僕は疲れているように見えますか?
メーカーはこれを知っており、解決策は各デバイスに独自のパスワードを与えることだとわかっていますが、コストがかかることと、デバイスが手元になくなったらもはや責任がなくなることから、多くのメーカーは依然としてそれを気にしません。
この法律は、製造業者に対し、「製造される各デバイスに固有の事前プログラムされたパスワード」または「デバイスへの初回アクセスが許可される前に、ユーザーが新しい認証手段を生成することを要求するセキュリティ機能」のいずれかを組み込むことを義務付けることで、追加の責任を課すことなく、これをある程度変更します。
この規制は2020年1月1日に発効し、「接続デバイスの製造業者に対し、デバイスの性質と機能に適した合理的なセキュリティ機能をデバイスに装備し、指定されたとおり、デバイスとそこに含まれる情報を不正アクセス、破壊、使用、変更、開示から保護するように設計すること」を義務付ける。
それはすべて素晴らしいことです。
しかし、これはまた、大きな機会損失であり、権力の中枢に適切な技術的知識が危険なほど欠如していることを示す兆候でもある。
この法案の目的は、インターネット全体における深刻かつ増大するセキュリティの脆弱性に対処し、その先手を打つことです。最近では、お風呂やシャワーでさえ、あらゆるものがインターネットに接続されているように見えます。これは主に、欧米諸国の人口の大部分がスマートフォンとインターネットアクセスを所有していることによるものです。デバイスにインターネット接続機能を搭載することが、かつてないほど容易かつ安価になったことも、この状況を後押ししています。
しかし、すべてのデバイスに固有のパスワードを設定することを義務付けることは前進ではあるものの、セキュリティ対策の最も簡単な取り組みに過ぎず、議員たちには問題が解決したという誤った安心感を与えてしまう可能性もある。しかし、実際には問題は解決していない。
アップデート
デフォルトのパスワードは特に問題ですが、ソフトウェアのアップデートがされていないことがより大きな問題です。電子製品にアクセスする方法は数多くあり、ユーザー名とパスワードはそのうちの1つにすぎません。
新たなセキュリティホールが常に発見されており、通常は、そのような製品に存在するが消費者には見えないさまざまな認証システムが悪用されます。
ArmはIoTファームウェアがダメだと言っているわけではないが、デバイスメーカー向けに無料のセキュアBIOSを作成している。
続きを読む
メーカーが最新のセキュリティ脅威に対処するためにソフトウェアのアップデートに尽力したとしても、多くの場合、システムアップデートのインストールは消費者の責任となります。そして、消費者がデフォルトのパスワードを変更するのを面倒に思うのであれば、デバイスのソフトウェアを定期的にアップデートするのも面倒に思うことはほぼ間違いないでしょう。
例えばAppleのような大企業は、セキュリティ修正と新機能や改良機能が混在するアップデートのダウンロードとインストールをユーザーに促すために、相当な労力を費やしています。しかし、GoogleやAndroidのセキュリティアップデートの遅延を見れば、何らかの継続的な働きかけや魅力的なインセンティブがなければ、アップデートは行われないことがわかります。
スマートフォンやコンピューターなど、人々が一日に何度も目にし、直接操作する機器もそうです。インターネットルーターや防犯カメラ、スマートライト、スマートコンセントなど、めったに操作しないスマート機器の場合、アップデートははるかに大きな問題となります。
自動セキュリティアップデートを義務付けるのはおそらく間違いでしょう。なぜなら、企業が自動アップデートを提供するために構築したシステムが、ハッカーの攻撃の格好の標的になってしまうからです。メーカーのシステムをハッキングできれば、あらゆるデバイスに好きなものを一挙にインストールできます。
警戒!警戒!
しかし、アラートと透明性を活用することで、同じ目標を達成できます。つまり、人々に安全でないデバイスへの注意を促すことです。電池式の煙探知機は、電池が切れると毎年鳴ります。もし他のデバイスが1年に1回同様の警報を発し、音が鳴り止む前に確認とアップデートのインストールを要求したらどうでしょうか?
また、多くのデバイスメーカーは、ユーザーが使いたくないと感じる、扱いにくいアップデートインターフェースを備えています。しかし、デバイスを再び最適な状態に動作させるために、ユーザー側でそのインターフェースを使用するしか選択肢がない場合は、状況は確実に変化するでしょう。
同様に、メーカーがデバイスの安全性を損なわせる、他にも不用意な近道があります。例えば、未使用のポートを開いたままにしたり、デバイスが同じネットワーク上のあらゆるデバイスと通信できるようにしたりすることです。
メーカーがGDPRのような最小限の取り組み、つまり必要なものだけを許可するという理念を採用するよう強制されれば、あらゆるものがより安全になるだけでなく、企業はデバイスのセキュリティについてより深く考えるようになるでしょう。あるいは、二要素認証はどうでしょうか?
これらの提案が完璧というわけではありません。単なるアイデアに過ぎません。しかし、サクラメントとワシントンD.C.で広く議論されるべきアイデアであり、消費者団体、技術専門家、インターネット接続デバイスメーカーにそれぞれの見解と提案を求めるべきです。また、リスクについて人々に実際に教育することの影響力は、過小評価されています。
私たちには、すべての問題を適切に検討し、一連の実際的で効果的な変更を推進する政治的意志をもって、全体的なオンライン セキュリティを実際に改善するという明確な目標を掲げたインターネット デバイス セキュリティ法案が必要です。
私たちには新たなラルフ・ネーダーとインターネットシートベルト法が必要です。そして、次のマルウェアの波がさらに大きな問題を引き起こす前に、それが必要です。
カリフォルニア州の SB-327 は、その道の一歩ではありますが、それはほんの一歩に過ぎず、近いうちに誰かが次の一歩を踏み出す計画を立てているかどうかは明らかではありません。®
