英国政府はサイバー犯罪に対する戦争を宣言:弱いデフォルトパスワードは禁止される
昨日、英国のデジタル、文化、メディア、スポーツ(DCMS)の大臣であるマット・ウォーマンは、彼と彼のチームが英国を「オンラインで最も安全な場所」にしたいと望んでいるとテレグラフに語った。これはよく聞こえますが、どの国のどの政治家にも尋ねると、彼らは彼らが責任を負う土地の区画についてまったく同じことをあなたに話します。しかし、英国の選出された役人は、彼らがそれを行う方法を知っていると信じています。
DCMSは、脆弱でデフォルトのパスワードが付属するIoTデバイスの英国での販売を禁止する法律に取り組んでいると発表しました。部門は法案を提案し、それは議会の議員に受け入れられ、法律に変わることを望んでいる。 「できるだけ早く」は、政府が思い付く可能性のあるETAに最も近いものでした。これは確固たる時間枠ではありませんが、明るい側面では、スマートガジェットのデフォルトパスワードを禁止することは間違いありません良いニュースですね
Table of Contents
イギリス政府はこの問題をある程度理解しています
本当に良いニュースは、ますます多くの人々が問題が何であるかを認識し始めているということです。インターネットに接続されたギズモの終わりのない波は私たちの日常生活を変えましたが、それは間違いなくオンラインの脅威の状況にさらに深刻な影響を及ぼしました。数百万人が購入するIoTの仕掛けの多くは、信じられないほど簡単に侵害でき、(比較的)無害ないたずらから破壊的なDDoS攻撃やサイバーストーキングまで、あらゆる手段の手段として機能できます。
スマート電球、ベビーモニター、または他のIoTテクノロジーにハッキングすることは、多くの場合、専用の検索エンジンを使用して、デフォルトのログイン資格情報を取得するためにメーカーとモデルをグーグルで検索するのと同じくらい簡単です。特定の場合、「123456」のような単純な組み合わせを試すだけで十分です。 DCMSは、弱いパスワードとデフォルトのパスワードを禁止すると、ハッカーの生活が非常に困難になると考えています。しかし、提案された法律は本当に望ましい効果をもたらすのでしょうか?
デフォルトのパスワードと脆弱なパスワードは問題の一部にすぎません
デフォルトのパスワードは、多くの場合、IoTのひどいセキュリティの主な理由として歓迎されています。これは(少なくとも部分的に)一般市民がこのタイプの攻撃がどのように機能するかをより簡単に理解できるためです。これは、すぐに利用できるパスワードが立法者が最初に求めていることでもある理由です。しかし、真実はそうではありませんが、デフォルトのログイン資格情報は問題の一部にすぎません。
たとえば、昨年、欧州委員会は、プライバシーに関する懸念について、子どもたちのスマートウォッチのバッチのリコールを発行しました 。その場合、問題はデフォルトのパスワードではなく、ガジェットが暗号化せずに大量の機密情報を転送していたという事実でした。認証プロセスとは関係ないが、一部のIoTデバイスのセキュリティがどれほど劣悪であるかの証拠として機能する他の例がいくつかあります。
現在の状況の理由は、いわゆるIoT革命に細心の注意を払っている人にとっては明らかです。ベンダーは、最近発見された日常のアイテムを可能な限り迅速かつ安価にインターネットに接続したいという欲求を満たすために競争しています。設計は急ぎ足で行われ、これらのすべての仕掛けは少しばかりの斬新さをもたらすことになっているため、プライバシーやセキュリティの問題よりも使いやすさが優先されます。
英国政府は、問題がデフォルトのパスワードを超えていることを知っています。弱いログイン資格情報を使用するデバイスの禁止案は、IoTセキュリティに関するより広範なベストプラクティスコードの一部です。 2018年に作成されたものには、現時点では単なる推奨事項である他の多くのポイントが含まれています。それらが法律になると、IoTベンダーは脆弱性報告プラットフォームを公開することを余儀なくされ、スマートガジェットがハッカーによって攻撃される可能性があることをユーザーに知らせるために、製品に警告ラベルを付ける必要さえあります。残念ながら、これで十分かどうかはわかりません。
ベンダーとユーザーはセキュリティをより真剣に考え始める必要があります
IoTはすでにいくつかの主要なサイバーセキュリティ事件の中心にあり、英国政府は何かをしなければならないことを認識する最初の規制機関ではありません。実際、デフォルトパスワードの使用を禁止する法律は、2018年にカリフォルニア州で可決され、1月1日に施行されました。どれほど効果があるかはまだわかりませんが、他の地方政府や中央政府も同様になると確信しています。
問題は、法律がこれまでのところあなたを得ることができるだけであるということです。単一のIoTデバイスのセキュリティを支配する要因の数は途方もないものであり、それらすべてを規制することは不可能です。状況を改善する場合は、ベンダーとユーザーの両方の考え方を根本的に変える必要があります。
最近の法律により、メーカーがより安全なログインシステムを考案するように求められると仮定したとしても、可能な限り迅速で、安価で、最も安全でない方法で残りのバックエンドインフラストラクチャを構築することを止めることはできません。多くのIoT仕掛けに見られる大きなセキュリティホールは、一部のベンダーが顧客の安全を維持し、それに応じて優先順位リストを並べ替える責任があることを認識しなければならないことを示しています。そうは言っても、ベンダーにすべての責任を負わせることはできません。
多くの人が採用している「それは私には起こらない」という考え方は、私たちに好意を持たないことです。 IoTベンダーは、デフォルトのパスワードを使用して製品を出荷する傾向があります。これにより、初めてデバイスを簡単かつ迅速にセットアップできるようになるためです。また、デフォルトのパスワードを変更できる機能も含まれていますが、単純な事実として、多くのお客様はそれを使用していません。
IoTのポイントは、私たちの生活に前向きな変化のみをもたらすことですが、現在の形では、いくつかの問題を引き起こしていることは明らかです。英国とカリフォルニアの議員はそれらのいくつかを解決しようとしていますが、本当の変化はスマートデバイスを設計し使用する人々からのみ来ることができます。