UK PSTI
Gov.UK

英国政府は11月24日(現地時間)、インターネットに接続するスマート家電のセキュリティを強化するため、こうした機器で推測しやすいデフォルトパスワードを禁止する製品セキュリティおよび通信インフラ法案」(Product Security and Telecommunications Infrastructure Bill: PSTI)を導入したと発表しました。この法案では、推測しやすいデフォルトパスワードの禁止とともに、セキュリティアップデートのリリース日などについてもユーザーへの開示を義務付けています。

IoT機器では、デフォルトパスワードのまま利用しているユーザーも多く、外部から容易にアクセス可能なことも少なくありません。実際、こうしたデフォルトパスワードを利用している個人所有のセキュリティカメラの映像を配信するサイトなども存在しています。また、こうした機器ではセキュリティパッチが当てられないことも多く、攻撃の踏み台にされるという問題も起こっています。このため、PSTI法案では、「password」や「admin」など、推測されやすいデフォルトパスワードの利用を禁止します。あわせて、新しい機器に搭載されるすべてのパスワードは、固有のものでなければならないともしています。

英国のデジタルインフラストラクチャ大臣Julia Lopez氏は、「私たちの多くは、製品が販売されていれば安全で安心だと思っています。しかし、多くの製品は安全ではなく、多くの人々が詐欺や窃盗の危険にさらされています」「私たちの法案は、電話、サーモスタット、食器洗い機、ベビーモニター、ドアベルなど、日常的に使われている機器にファイアウォールを設置し、厳しい新セキュリティ基準に違反した者には巨額の罰金を科すものです」と発表文の中で述べています。

英国政府によると、英国のすべての世帯が平均して9つのコネクテッド製品を所有しており、2030年までに世界中で最大500億台に達すると予想。しかし、適切なセキュリティ対策を行っているメーカーは、5社に1社(20%)だとしています。

デフォルトパスワードの禁止にあわせて、メーカーは販売時点で顧客に対し、セキュリティパッチやアップデートのリリース予定について通知しなければいけないともしています。アップデートが提供されない製品について、その旨を開示する必要もあります。

なお、この法案はメーカーだけではなく、英国向けに販売する小売店やオンラインショップにも適用されるとのこと。対象製品はスマートフォンやスマート家電だけではなく、ゲームコンソールやインターネット対応のおもちゃなども含まれます。違反した場合には、最大1000万ポンド(約15億円)、または世界市場での売上の4%が罰金として課せられます。違反が続く場合には、最大で1日当たり2万ポンド(約300万円)が課せられるとのことです。

Source: GOV.UK