米カリフォルニア州で9月28日、IoTデバイスを対象とする広範なサイバーセキュリティ法案が成立しました。米国の州でこうした法案が採択されるのは初めてです。新たな法律では、IoTデバイスに一律の初期パスワードを設定することが禁じられ、デバイスごとに異なるパスワードを設定するか、利用者が使用前に独自のパスワードを設定することが義務づけられます。2016年末にあった「DNSへの大規模DDoS攻撃」は、IoTデバイスの工場出荷時デフォルトパスワードを狙い、世界的に感染が広がった Mirai(マルウェア)によるものでした(Mirai:下記参照)。
2020年1月1日に発効する法律「SB-327」は2017年に提出されていたものです。
Statista によると、2018年までに世界中で約230億台のIoTデバイスが接続され、2025年には3倍以上の750億以上になると予測しています。この法律については賛否両論があるようですが、IoTデバイスの急激な増加や、その驚異も明らかになっていることから重要な法律と言えます。
2020年1月1日からは、インターネットに直接的または間接的に接続するIoTデバイスの製造業者は、不正なアクセスや内容の変更、情報漏えいを防ぐための「合理的な」セキュリティ機能をIoTデバイスに備える義務が生じます。
- DNSへの大規模DDoS攻撃、関与のIPアドレスは数千万と判明(10/26 2016 ITmedia)
- IoT時代のセキュリティ 1.マルウェア”Mirai”の衝撃~前編(Japan Systems) 連載
- 推測されやすい「初期パスワード」を禁止する法案が施行へ、IoT機器のセキュリティ向上を目指す(Gigazine)
- Passwordは、おかしな文字列より長く覚えやすいフレーズに(NIST)(Nobuyuki Kokai)
- タグ:ハッカー(Nobuyuki Kokai)
- タグ:DDoS(Nobuyuki Kokai)
