カリフォルニア州が 2020 年 1 月 1 日からの実施に向けて、新しいデバイスのパスワードセキュリティを強化する措置を講じました。下院法案 327 号はデバイス製造元に対し、デバイスごとに固有のパスワードを作成するか、初回ログイン時にユーザが新しいパスワードを作成しなければならなくするよう求めています。

この法案は、ローカルネットワークの外部にアクセスできるデバイスのみに適用されます。

1. 予めプログラムされるパスワードは、製造されるデバイスごとに固有であること
2. デバイスには、デバイスに最初にアクセスを許可する前に新しい認証手段を生成するようユーザに求めるセキュリティ機能が含まれていること

多くの Web サイトは、デバイスに対してデフォルト認証情報を提供しているため、管理者がデフォルトのままにしておくと、ハッカーもこの同じ情報を使ってデバイスに簡単に認証できてしまうという問題があり、この法案によって、この簡単な攻撃ベクトルが排除されることが期待されます。この措置がデフォルトパスワードの使用の回避に役立つとは思いますが、おそらくそれで十分とは言えません。ガイダンスなく一般家庭のユーザにパスワードの変更を要求した場合、多くの場合は弱いパスワードをユーザが選択することになるでしょう。製造元がデバイスごとに一意の強力なパスワードを作成すれば、状況は改善されるでしょう。しかしながら、これではまだ、優れたセキュリティ技術を使用することになりません。何らかの形の 2 要素認証（2FA）の採用が最良の方法です。正しく実装されたとすれば、弱いパスワードでも 2FA と組み合わせれば、2FA を使用しない強いパスワードよりはるかに優れた方法になるはずです。今回の法案は、2FA の使用には言及していません。

この法案はさらに、デバイスに対する、収集される情報の「適切な」セキュリティも求めています。しかしながら、「適切」にはさまざまな定義があることから、この表現には曖昧さが残ります。この法案によって、強力なパスワードと優れた暗号化を製造業者が採用するようになることが期待されますが、それと同時に、優れたセキュリティ対策をユーザに周知し、ユーザの保護に役立てる努力も続ける必要があるでしょう。

この法案では、ファームウェアのアップデートについては対象になりません。ファームウェアのエクスプロイトが容易であるとすれば、それは、デフォルトパスワードと同じ位、大きな問題です。ファームウェアのエクスプロイトの解決には多くの場合に時間がかかり、それは、パッチの公開だけでなく、デバイスやデバイスのアップデートの知識を持たないユーザによるパッチの適用にも時間がかかるためです。ワンクリックでファームウェアをアップデードでき、アップデートの通知がデバイスに表示されるようにすれば、多くのデバイスが迅速にアップデートされるようになるでしょう。ファームウェアアップデートによっては、「高度」オプションの下の方の階層に隠れていたり、USB などの複数のデバイスがファームウェアのアップデートに必要であったりするものもあります。このような状況が、ユーザによるパッチの適用を困難にし、パッチの適用が遅れる原因となっています。

今回の法案は、50 万以上の家庭用ルータがデフォルトパスワードの使用とエクスプロイトによってマルウェアに感染した、VPNFilter 攻撃への対応であるようです。法案によって多くの攻撃を防ぐことができないかもしれませんが、製造元とユーザのちょっとした努力で一定の攻撃を防ぐことができるはずです。