ESETは10月10日(米国時間)、「Default passwords on IoT devices sold in California must be more secure」において、米国カリフォルニア州でインターネットに接続するデバイスに対して適切なセキュリティを義務付ける法案が可決されたと伝えた。具体的には、インターネットに接続されたデバイスでは弱いデフォルトパスワードが禁止される。
法案の詳細は「Bill Text - SB-327 Information privacy: connected devices.」において確認でき、2020年1月1日より施行される見通し。
この法律が施行されると、インターネットに接続するタイプのデバイスを製造しているメーカーは、デバイスに個別のパスワードを設定して出荷するか、または、個別のパスワードが生成される手段を持ったデバイスを出荷する必要が出てくることになる。
ホームルータやデジタルビデオレコーダ、セキュリティカメラなどはデフォルトのパスワードが設定された状態で出荷されていることが多いが、実際には初期のパスワードが変更されることなくそのまま使われている。
初期パスワードが変更されていないIoTデバイスはサイバー攻撃者に悪用され、大規模なボットネットの構築などに組み込まれている。今回可決された法律にはこうした状況を改善する狙いがあると見られる。