どうか、IoT化の波だけは止めないで...。

最近あらゆるところにIoT化の波が押し寄せてきていて、凄いですよね。防犯カメラ、電化製品、ウェアラブルなど、インターネットに繋がるなんかそれっぽいガジェットをあげるときりがありません。ただ、これらIoTデバイスって、実はセキュリティ面がちょっと弱いことで知られているんです。そこで、アメリカの2人の上院議員が「少なくとも政府機関が利用するものに関しては、この状況を変えねばならぬ」ということで、セキュリティに関する2党連盟の新たな法案を提出しました。内容は、メーカーにデバイスの基本的なセキュリティ機能を搭載するよう強制するものです。

「IoTサイバーセキュリティー改善条例 2017（Internet of Things Cybersecurity Act of 2017）」と呼ばれるこの法案は、メーカー側に既存製品のソフトウェアアップデートと、その証明を要請し、修正がきかないハードコードのパスワードを用いることを禁ずるもの。

法案の中で記されているセキュリティ水準は一見どれも基本的なレベルのものに見えるのですが、セキュリティが結構不安定なIoTデバイスは多く、簡単にハッキングされてしまうそうです。つまり、この基本的なレベルのルールでも状況は改善することが見込めるのでしょう。

昨年の秋に全米のネットをダウンさせるという未曾有のDDoS攻撃を受けたとき、これらの原因がハードコードでのパスワードを利用しているIoTデバイスにあることが発覚し、話題を呼びました。メーカーは、遠隔でアップデートやデバックをかけられるよう、変更ができないハードコードパスワードを利用することがしばしばあります。

ただ、ログイン用の認証パスワードが「admin / admin」というような、ありえないくらい簡単なものが設定されていることも多かったのです。そりゃ、こんな簡単なパスワードだとハッカーも黙ってはいません。彼らは簡単に乗っ取ることができますし、ハードコードですので、企業側も後になっ�