知って得するセキュリティのはなし その256
推測されやすいデフォルトパスワード禁止へ…イギリスで新法施行
1.このニュースをざっくり言うと
- 4月29日(現地時間)、イギリスにおいて「製品セキュリティおよび通信インフラストラクチャー法(PSTI法)」が施行されました。
- 同法では、電話・テレビ・スマートドアベル等のIoT機器メーカーに対し、サイバー脅威に対する最低限のセキュリティ基準の導入を義務付けるとし、例えばIoT機器のデフォルトパスワードとして「admin」「12345」といった推測されやすいものの設定を禁止するとしています。
- 同法は2022年に成立したもので、イギリス政府では「英国の消費者と企業をハッキングやサイバー攻撃から守るための世界初の法律」としています。
2.執筆者からの所感等
- 国内外製のルーター・NAS等において、あるいはソフトウェアであればLinuxディストリビューションのインストール時等において、デフォルトのパスワードが簡単なものであったり、そうでなくても同品番の全ての機器で同じであるケースは珍しくなく、そういったデフォルトパスワードの情報を集めているWebサイトも存在します。
- 攻撃者は、オープンポートや管理画面等に外部からアクセス可能な機器が検索可能な「Syodan」「Censys」等のサイトも利用し、パスワードが変更されていない機器がないか日々探し回り、侵入の機会を窺っていることでしょう。
- あらゆるサーバーからネットワーク機器に至るまで、導入時には必ず管理者パスワードをデフォルトのものから機器ごとに異なるかつ推測されにくいものに変更することが肝要です。