世界で初めて、簡単なパスワードの利用が法律で禁止
されたのをご存知でしょうか？

2024年4月29日にイギリスで「Product Security and Telecommunications Infrastructure Act
(PSTI法：製品セキュリティおよび通信インフラストラクチャー法)」が施行されました。
このPSTI法とは、IoT製品のサイバーセキュリティ対策の向上を目的とした法律です。サイバー犯罪の脅威に対抗するため、製造業者に対して特定の製品に対するサイバーセキュリティ要件を定めています。

この法律の注目したいところは、世界で初めて「password」「admin」など古典的なものを含む、推測しやすいデフォルトパスワードの使用を禁止した、という点です。

このブログでは、PSTI法が施行された背景をはじめ、適切なパスワード管理の方法など、パスワード管理にフォーカスした情報をお届けします！

1.「PSTI法」

1-1. 施行に至った経緯

近年インターネットに接続して使用するIoTデバイスが一般家庭にも広く普及していますが、同時にIoTデバイスのセキュリティリスクも高まっています。

2016年には、「Mirai（ミライ）」と呼ばれる、Linuxで動作するコンピューターを遠隔操作できるボットにするマルウェアが登場し、ネットワークカメラや家庭用ルーターなどの家庭内のIoTデバイスを主要ターゲットとして、Miraiに感染したIoT機器を踏み台としてDDoS攻撃（※）を仕掛ける事件が発生しました。

Miraiは、TwitterやAmazonなどのサービスをアクセス不能にしたり、大規模なDDoS攻撃を仕掛けることでその名を広めています。

特にアメリカのセキュリティサイト「KrebsOnSecurity」を24時間以上にわたってダウンさせた事例では、踏み台にされたデバイスの多くがユーザ名とパスワードの組み合わせを簡単なものに設定していたり、そもそもパスワードを設定していないなど、安易なパスワード管理が感染原因でした。

PSTI法は、 このような悪質なサイバー攻撃を背景として誕生しました。

（※）DDoS攻撃
攻撃対象となるWebサーバーなどに対し、複数のコンピューターから大量のパケットを送りつけることで、正常なサービス提供を妨げる行為を指します。大量のパケットが送りつけられると、サーバーが高負荷状態となり、正常なアクセスに対するレスポンスが低下、あるいは応答できない状態となるほか、サーバーに接続されているネットワークの帯域が消費される弊害も生じます。

1-2. 具体的に求められるセキュリティ対策

PSTI法はセキュリティ対応策として、以下の3つを定めています。

①　出荷時の共通パスワード設定の禁止
消費者向けの通信可能な製品で、デフォルトのパスワードや推測しやすいパスワードの使用禁止

②　脆弱性情報の報告方法の提供
発見された脆弱性の通知を可能にするため、製造者の連絡先に関する情報を提供することを含めたセキュリティ問題の報告の義務

③　製品のセキュリティサポート期間の明示
製造業者は、自社ウェブサイトでの購入を許可する前に、製品のセキュリティ更新サポート期間について顧客に知らせる義務

現在PSTI法の対象者として挙げられているイギリス国内の製造業者などは、法律の施行を受けて、最低限のセキュリティ基準に、早急に準拠する必要があるのです。

このように、法律で「推測されやすいパスワードの設定」が禁止されたり、「安易なパスワード設定による機器遠隔操作」ということから、パスワード管理が非常に重要ということが分かります。

1-3. PSTI法から私たちは何を学び取るべきか？

PSTI法は、IoT製品のサイバーセキュリティ対策の向上を目的とした法律ですが、パスワードに関しては、IoTデバイスに限らず、私たちの身の回りにあふれています。

あらためて、身の回りにあふれる【パスワードのあり方】について見直すには良い機会かもしれません。

2. 事例からパスワード管理のあり方を考える

アメリカで大規模なサイバー攻撃があったことや、イギリスでパスワード設定に関する法律が出されたことで、パスワード管理の重要性がお分かりいただけたかと思います。

また、普段使用しているサービスなどで「ついつい簡単なパスワードで設定してしまう」なんてことありませんか？

本章では、パスワード管理にまつわるニュース・事例をご紹介します。
パスワード管理の重要性について、さらに理解を深めていきましょう。

2-1.「簡単なパスワード」が世の中にあふれている。もしかしてあなたも…

イギリスのNational Cyber Security Centre(NCSC)がインターネットセキュリティについての大規模調査を行い、スコットランドで開催されるインターネットセキュリティ関連イベント「CYBERUK 2019」に先駆けて、その結果を公表しました。

その結果によると、世界でハッキング被害に遭った人のうち、約2320万人がパスワードに「123456」を使っていたことが判明しました。他にもサッカー選手や架空のキャラクターの名前なども多く使われていたそうです。

さらにNCSCは、第三者によってアクセスされたアカウントで設定されていたパスワードの分析結果を公表しています。被害に遭ったアカウントの中でも使用者の多かったパスワードは以下の通りです。
・2320万人が使っていた「123456」
・770万人が使っていた「123456789」

他にも「ashley」「michael」「daniel」などの名前や、「liverpool」「chelsea」「arsenal」などサッカーチームの名前、「superman」「naruto」「pokemon」など映画やアニメのタイトルやキャラクターの名前を付ける人も多かったそうです。

NCSCのテクニカルディレクターであるIan Levy博士は「インターネットセキュリティが多くの人々にとって面倒くさいと感じることは理解しているが、パスワードの再利用は回避可能な大きなリスクだ。自分の名前やサッカーチーム、お気に入りのバンド名など、誰にでも推測できるようなパスワードで、機密データを保護してはいけない。」と注意を促し、「記憶に残るような3つの単語をランダムで組み合わせれば、強力なパスワードになる。」とコメントしています。

イギリスの内閣官房長官のDavid Lidington氏は「サイバー攻撃による脅威が世界的に高まっていることを考慮すると、今回の調査結果は自宅や職場で強力なパスワードを使うことの重要性を強調している。」と述べました。

2-2.「パスワード使い回し」が命取りになった事例

簡単なパスワード設定に加えて、「パスワードを使い回す」ことにも危険が潜んでいます。以下では、「パスワードの使い回し」をして大変なことになった事例をご紹介します。

2-2-1. 背景

従業員1,000人ほどの中堅商社Z商事に務める営業職のAさんは定期的なパスワード変更を手間に感じており、パスワード管理の複雑さに悩んでいました。Aさんが置かれていた環境は以下の通りです。

■　パスワードの設定と管理は従業員任せ
同社では、不正アクセス対策として定期的なパスワード変更を呼びかけていたが、パスワードの設定と管理は従業員任せ。Excelや付箋などにメモしている従業員も多かった。

■　Bさんは普段使用する全てのシステムで同じパスワードを使い回していた
Bさんが業務で使用するシステムは、SFAやCRM、名刺管理システム等、10種類以上にも及ぶが、会社からは定期的なパスワード変更を求められ、パスワード管理の複雑さに頭を悩ませていた。

そして、Bさんはパスワードを覚える手間を削減するため、全てのシステムに共通のパスワードを設定していた。

■　ダークウェブ上で既に流出しているパスワードを使用してしまった
ある時に変更したパスワードは、既にダークウェブ（※）上で流出しているものだった。

2-2-2. 結果

Bさんのアカウントに対して、パスワードスプレー攻撃（※）が仕掛けられ、
あらゆるシステムがロック・会社全体のデータが暗号化される、大規模なランサムウェア攻撃が発生してしまいました。

結果として、同社は業務停止に追い込まれ、攻撃者からは身代金として1億2,000万円が要求されました。Z商事は身代金の全額を支払っただけでなく、多くの取引先から協業を断られ、株価も大きく落ちてしまう事態に陥りました。

この事例のように、「パスワードを使い回す」と、「パスワードスプレー攻撃」のようなサイバー攻撃の餌食になってしまう危険性もお分かりいただけたでしょうか。

（※）ダークウェブ
通常のwebブラウザからはアクセスすることができない、クラッカーなどによってパスワードや個人情報等の取引に利用されている、いわゆる闇サイトのこと

（※）パスワードスプレー攻撃：
よく使われるパスワードを試行し標的システムなどに不正にログインしようとする攻撃方法のこと

3. パスワードを適切に管理する方法

上記でパスワード管理の重要性をお伝えしてきましたが、パスワード管理に関して以下のようなお悩みをお持ちではないでしょうか？

・つい簡単なパスワードを設定してしまう
・ついパスワードを使い回してしまう

使用しているサービスが多く、パスワードも比例して多くなると「簡単なパスワードで設定してしまう」「パスワードを使い回してしまう」事態が発生します。上記事例のように、使い回しているパスワードがダークウェブに流出し、簡単にパスワードが破られ、ウイルスに感染してしまう可能性があります。

しかし、上記のパスワード管理のお悩みを全て解決するのは、コストや時間が掛かって大変ですよね‥‥

実は、このような課題を解決してくれる「パスワード保護ソリューション」があるのです！

以下よりダウンロードしていただける資料では、パスワード管理の適切な保護機能のご紹介の他、Google Chromeのパスワード管理に隠された落とし穴や、Google Chromeとパスワード保護ソリューションとの違いもご紹介しています。

ご紹介した事例のようにならないために、パスワードを適切に管理するために、是非ご一読ください。

▼　無料でダウンロード！

4. まとめ

PSTI法が施行された背景をはじめ、適切なパスワード管理の方法や、パスワード管理にまつわる事例など、パスワード管理にフォーカスした情報をお伝えしてきました。

PSTI法を通して、改めて「パスワード管理の重要性」をお分かりいただけたのではないでしょうか。ブログ内ではパスワード管理をより安全にする方法をご紹介している資料もご案内しましたので、是非ご参考にしていただければと思います。
マルウェア攻撃への対策を考えている方は、対策の第一歩としてパスワード保護から初めてみるのもいいかもしれません！

パスワード管理だけではなく、その他セキュリティ対策を考えている方も、何かお困りごとありましたら、デジタルテクノロジーにお気軽にお問い合わせください！

▼　上記の内容・その他製品のお問い合わせはこちら

【　参考情報　】

・GIGAZINE：IoTデバイスの「admin」や「12345」など推測が容易なデフォルトパスワードをイギリスが世界で初めて禁止
　https://gigazine.net/news/20240430-uk-bans-default-passwords-iot-devices/

・bsi:PSTI法
　https://www.bsigroup.com/ja-JP/industries-sectors/internet-of-things-iot/iot-assurance-services/uk-product-cybersecurity-act-psti/

・GIGAZINE：ハッキング被害に遭った2300万人以上が使っていた最も危険なパスワードは「123456」　
　https://gigazine.net/news/20190422-most-used-dangerous-password/

・マイナビ：パスワード流出の怖い話（2） パスワードの使い回しが命取りに……。A商事のインシデントケース
　https://news.mynavi.jp/techplus/kikaku/20231122-2784898/?trflg=1