Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

最悪なパスワード設定はメーカー責任

カリフォルニアだから法案が成立すれば影響が出るかも知れません。 ※10/1追記(法案通ったようです)

forbesjapan.com

カリフォルニア州ではこの状況を見かねた議員が、メーカーに対策を講じることを迫る法案を提出し、注目を集めている。州知事のジェリー・ブラウンに提出された法案は、デバイスメーカーらに2つの対策を要求している。

その1つは、セットアップ段階でユーザーにパスワードの変更を強制するもので、一般的に「最悪のパスワード」として知られる123456やpasswordを認めないよう求めている。また、もう1つの要求として議員らは、カリフォルニア州で販売される全てのネット接続デバイスの初期IDとパスワードの組み合わせを、ユニークなものにすることを求めている。

(Forbes記事より引用)

 

◆キタきつねの所感

注目したい法案の動きです。シリコンバレー等、ITベンチャーやFinTechが多く拠点を置くカリフォルニア州の法案です。最悪なパスワード、ニュース等で聞いた事がある方も多いかも知れませんが、最近だとSplashDataが毎年発表するリストが有名です。

gigazine.net

『123456』『password』『admin』といったパスワードは未だに多く使われており、APT攻撃だのリスト型攻撃だの言われる不正アクセス事件において、実はこうしたパスワードが設定されている事に起因していた被害というのは未だに多いようです。※背景としてIoT機器のBot化も影響してそうです。

 

容易に推測できるパスワードを設定するのは、ユーザの選択とはいえ、事件が多発している現状を考えると、メーカー側が対処すべきと、

 

  •  初期ID/パスワードが全ての機器で同じにしない(例 ID=Admin Pass=Admin)
  •  機器毎に個別のパスワードを設定するか、ユーザ側の変更を義務づける
  •  少なくても危ないと言われるパスワード(位)はセットできないようにする

 

を要求しているIoT機器向けの法案のようですが、極めて現実的で効果が高い要求かと思います。

 

最悪なパスワードとしてSplash Dataが毎年発表するリストですが、実際には上位のパスワードは毎年ほとんど同じです。これはつまり、実際に漏洩事件で痛い目にあっているはずのユーザが、結局は同じ脆弱なパスワードを使っている(使いまわししている)事なのだと思います。

 

ユーザへの啓蒙は限界がある、のだとすれば、それを提供する側に求める。今回の対象は主にIoT機器ですが、私個人としては日本でも同じ事をベンダーやサービスプロバイダーにも要求して欲しいと思います。

 

10/1追記(法案がどうやら通ったようです)

www.technologyreview.jp

 

パソコンのパスワードのイラスト(セキュリティー)

 

更新履歴

  • 2018年9月30日PM(予約投稿)
  • 2018年10月1日AM 法案成立の記事を追記