「password」や「admin」など安易なパスワードをデフォルトに設定することを禁じる法案をイギリス政府が提出

2021/11/26　

 

 

 

イギリス政府が、スマートホーム機器のセキュリティ向上を目的とした「製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案」を議会に提出したと発表しました。この法案ではスマートフォンやテレビ、スマートスピーカーなどのデジタルデバイスのデフォルトパスワードに「password」「admin」などの推測しやすい文字列を設定することが禁止され、違反した企業に対しては厳しい罰金が科されます。

New cyber laws to protect people’s personal tech from hackers - GOV.UK
https://www.gov.uk/government/news/new-cyber-laws-to-protect-peoples-personal-tech-from-hackers

 

New UK law will hit smart home device makers with big fines for using default passwords | Engadget
https://www.engadget.com/uk-law-imposes-stiff-fines-on-insecure-smart-home-devices-200031873.html

イギリス政府は、インターネットに接続できるハイテク製品の使用率は近年劇的に増加しており、2030年までに世界全体で最大500億デバイスが使われるようになると予測しています。しかし、こうした接続可能な製品に適切なセキュリティ対策を講じているのはわずか20％ほどしかないとイギリス政府は述べています。イギリスの国家サイバーセキュリティセンターは、2021年前半だけでイギリス国内のIoTデバイスへの侵害が15億回も行われており、被害件数がすでに2020年のほぼ2倍に達していると報告しています。

今回提出されたPSTI法案は2020年に起草されたもので、「password」「admin」といった古典的なものを含む推測しやすいデフォルトパスワードの使用を禁止し、「パスワードはデバイスに一意的かつ工場出荷時の設定にリセットできないものでなければならない」と定めています。規制の対象となる製品はスマートフォン、ルーター、監視カメラ、ゲーム機、ホームスピーカー、ベビーモニター、洗濯機、冷蔵庫など、IoT対応の家電製品です。また、スマート電球やウェアラブルフィットネストラッカーなど、直接インターネットに接続しない製品も対象となります。

 

メーカーは販売時に顧客に対してセキュリティパッチやアップデートの最低必要期間を伝達し、常に最新の情報を提供することが義務付けられます。もし製品にセキュリティパッチやアップデートが含まれていない場合は、その事実を開示する必要があります。また、メーカーはバグや脆弱(ぜいじゃく)性を発見したセキュリティ研究者が連絡する窓口を用意する必要があります。違反した企業には最大1000万ポンド(約15億円)あるいは総売上高の4％分の罰金が科されることとなり、継続的に違反した場合は1日最大2万ポンド(約300万円)の罰金が科せられます。また、この法律はメーカーだけではなく、ハイテク製品をイギリスに輸入販売する小売企業にも適用されます。

イギリスのメディア・データ・デジタルインフラストラクチャ担当大臣であるジュリア・ロペス氏は「ハッカーは人々のスマートデバイスに日々侵入しようとしています。私たちは販売されている製品は安全で安心だと思いがちですが、実際は詐欺や盗難の危機にさらされています。PSTI法案は、電話や暖房、食洗機やドアベルに至るまで、日常生活にある技術に厳しいセキュリティ基準を設け、違反した人には巨額の罰金を科します」とコメントしています。

 

 

 

 

 

 

IoT製品はデフォルトパスワード禁止　英当局が法案、高額罰金

2021/11/26　

 

 

英国の消費者団体Which?は11月24日、ほぼすべてのインターネット接続製品にセキュリティ対策を求める法案が提出されたと伝えた。ハッキングされない状態で出荷することを企業に求め、要件を満たさない場合は最高1千万ポンド（約15億2千万円）もの罰金を科す。さらにメーカーだけでなく輸入業者、販売業者にも法の網をかける。

Which?は「サイバー犯罪に無防備な消費者製品を取り締まる法案が提出されたことを歓迎する」とのコメントを出している。

この法案は英デジタル・文化・メディア・スポーツ省（DCMS）が24日に提出した「製品セキュリティ及び電気通信整備法案」（PSTI、The Product Security and Telecommunications Infrastructure Bill）。スマートフォン、通信機器、ゲーム機、おもちゃ、テレビ、カメラ、スピーカー、ベビーモニターなどインターネットに接続して使うほぼすべての製品を対象とし、製品出荷時のデフォルトパスワード（adminなど）を禁止するほか、セキュリティ更新情報に関する情報提供、バグや欠陥を報告するための連絡先の開示を求める。要件を守らない企業には最大1千万ポンドまたは世界総売上高の4％にあたる罰金を科し、メーカーだけでなく輸入業者、小売店、オンライン通販業者にも適用する。

一方、対象外となる製品はノートパソコン、デスクトップパソコン、自動車、スマートメーター（電力メーター）、医療機器、電気自動車充電設備など。

メディア・データ・デジタルインフラストラクチャ担当のジュリア・ロペス大臣は法案について「消費者の多くは販売されている製品は安全だと思っているが、実際はそうではない。この法案により電話から食器洗い機、ドアベルに至るまでファイアウォールが設定されるようになり、違反した企業には巨額の罰金を科していく」と発言している。

 

 

 

 

 

 

「admin」とか「password」とかは禁止

2021/11/26　

 

 

英国政府は11月24日（現地時間）、インターネットに接続するスマート家電のセキュリティを強化するため、こうした機器で推測しやすいデフォルトパスワードを禁止する製品セキュリティおよび通信インフラ法案」（Product Security and Telecommunications Infrastructure Bill： PSTI）を導入したと発表しました。この法案では、推測しやすいデフォルトパスワードの禁止とともに、セキュリティアップデートのリリース日などについてもユーザーへの開示を義務付けています。

IoT機器では、デフォルトパスワードのまま利用しているユーザーも多く、外部から容易にアクセス可能なことも少なくありません。実際、こうしたデフォルトパスワードを利用している個人所有のセキュリティカメラの映像を配信するサイトなども存在しています。また、こうした機器ではセキュリティパッチが当てられないことも多く、攻撃の踏み台にされるという問題も起こっています。このため、PSTI法案では、「password」や「admin」など、推測されやすいデフォルトパスワードの利用を禁止します。あわせて、新しい機器に搭載されるすべてのパスワードは、固有のものでなければならないともしています。

英国のデジタルインフラストラクチャ大臣Julia Lopez氏は、「私たちの多くは、製品が販売されていれば安全で安心だと思っています。しかし、多くの製品は安全ではなく、多くの人々が詐欺や窃盗の危険にさらされています」「私たちの法案は、電話、サーモスタット、食器洗い機、ベビーモニター、ドアベルなど、日常的に使われている機器にファイアウォールを設置し、厳しい新セキュリティ基準に違反した者には巨額の罰金を科すものです」と発表文の中で述べています。

英国政府によると、英国のすべての世帯が平均して9つのコネクテッド製品を所有しており、2030年までに世界中で最大500億台に達すると予想。しかし、適切なセキュリティ対策を行っているメーカーは、5社に1社（20%）だとしています。

デフォルトパスワードの禁止にあわせて、メーカーは販売時点で顧客に対し、セキュリティパッチやアップデートのリリース予定について通知しなければいけないともしています。アップデートが提供されない製品について、その旨を開示する必要もあります。

なお、この法案はメーカーだけではなく、英国向けに販売する小売店やオンラインショップにも適用されるとのこと。対象製品はスマートフォンやスマート家電だけではなく、ゲームコンソールやインターネット対応のおもちゃなども含まれます。違反した場合には、最大1000万ポンド（約15億円）、または世界市場での売上の4%が罰金として課せられます。違反が続く場合には、最大で1日当たり2万ポンド（約300万円）が課せられるとのことです。