モノのインターネット(IoT)は、昨今、悪評を買っています。DVRやウェブカメラなど、何十億台ものデバイスが世界中の消費者に出荷されているにもかかわらず、政府や業界団体には、デバイスに適切なセキュリティ対策が施され、欠陥を修正するためのアップグレードパスが提供されていることを保証できる実質的な権限がありません。これは、コンピューターや家電業界では目新しいことではありません。しかし、IoTによって、高速ブロードバンドに接続された固定された場所に設置されたハッキング可能なデバイスは、セキュリティ機関や犯罪組織にとって、ボット軍団として利用するための非常に魅力的な標的となっています。
200ドルのNestカメラのように高価なIoTデバイスもありますが、それらは例外です。出荷されている機器の大部分は、既に価格競争の真っ只中にいます。安価なハードウェアメーカーは、セキュリティを最優先事項としていないことが多く、セキュリティのためのソフトウェアアップグレードを無期限に、あるいはそもそも提供する必要もほとんどありません。
では、どうすればこのバランスを変え、消費者のプライバシーとインターネットセキュリティをメーカーにとって価値あるものにできるでしょうか?基本的な基準を満たせなかった場合の結果を厳しく取り締まることができるのです。エレクトロニクス業界の一部では、業界団体が認証や、時には暗号化を通じてこの権限を有しています。Wi-Fiと表示されたデバイスを(製品がブロックされたり訴訟を起こされたりすることなく)販売したい場合、テスト費用とWi-Fi商標の使用料を支払う必要があります。そのラベルとマークを付けたまま承認なしに販売すれば、訴訟を起こされ、輸入がブロックされ、小売業者から製品の販売を拒否される可能性があります。
IoTには、ブランド化と認証を提供するような団体が存在しない。そのため、すべての責任は政府機関に委ねられている。米国では、連邦取引委員会(FTC)は、被害が発生する前に行動を起こすことができない。ベストプラクティスのガイドラインを発表し、限定的な苦情や訴訟の脅しに対応してきたにもかかわらず、消費者の不正行為を特定する前に、米国内のメーカーや米国で販売するために製品を輸出するメーカーに、いかなる基準の遵守も強制することはできない。
しかし、FTCは行動を起こすことができます。1月6日、台湾のD-Link社がまさにその行動に出ました。同社は長年ネットワーク機器を製造し、最近ではIoTの範疇に当てはまる幅広いデバイスを製造してきました。FTCの行動は、裁判または和解によって証明される予定の申し立てに基づくと歓迎すべきものですが、トランプ政権下では、同様の事態が起こるかどうかは不透明です。
意図的な過剰な約束
FTCには機能に関して訴訟を起こす権限がありません。FTCの執行活動は、消費者への約束が果たされたかどうか、つまり詐欺や欺瞞行為の有無に関するものです。(サムスンNote7のリコールのように、傷害や物的損害に関連する安全性の問題は消費者製品安全委員会(CPSC)が担当していますが、詐欺行為が疑われる場合はFTCも介入する可能性があります。)
Dリンク FTCは、D-Link社がルーターやIPカメラのセキュリティを確保するために適切な措置を講じなかったと主張した。
FTCは、D-Link社が自社製品を「セキュリティ対策が容易」かつ「高度なネットワークセキュリティ」と宣伝しながらも、業界標準の慣行や常識に反する複数のセキュリティ欠陥を抱えていたと主張している。D-Link社はウェブサイトに掲載した声明で、これらの告発は「不当かつ根拠がない」とし、「FTCはD-Link Systemsが販売したいかなる製品についても、いかなる違反も主張していない」と述べている。
後者の点は、裁判になった場合、争点となるでしょう。本コラムニストは弁護士ではありませんが、FTCは、消費者が製品の代金を支払う以外に具体的な損害を証明することなく、提供していないものを宣伝する企業に対して、日常的に訴訟を起こしています。もしD-Linkがセキュリティ機能を一切宣伝していなかったとしたら、FTCの対応能力はより限定的なものになっていたでしょう。
消費者にとって最も重要な点は、FTCがD-Linkの行為または不作為を主張する点のうち、教育や設定オプションの改善で修正できるものはほとんどないということです。例えば、FTCによると、D-Linkはコード署名に使用した秘密鍵を公開ウェブサイトに6ヶ月間放置していました。つまり、この鍵を入手した者は誰でも、インストール前に署名を検査するD-Link製品向けのアップデートに暗号署名することができたのです。
私はセキュリティとプライバシーの問題について常に記事を書いていますが、ベテランの技術ユーザーから定期的に寄せられるフィードバックには、使用している製品について十分に学習せず、適切にセキュリティ対策を講じていない人々に対する非難の声が寄せられています。
これまでに記録されているIoTの不具合の多くは、D-Linkの請求と同様に、ハードコードされた動作や設定に起因しており、インターフェース上で変更可能と表示されていても変更できない、あるいは変更できない。また、サーバー側の問題でメーカーのみが修正できるケースもあり、ユーザーが原因を突き止めるにはパケットスニッフィングソフトウェアとネットワークの専門知識が必要となる。
FTCの申し立てがどのような結果になろうとも、セキュリティを軽視してきたメーカーに厳しい目が向けられることを期待したい。しかし、そこに厄介な問題が潜んでいる。政権交代だ。
規制のない未来?
トランプ大統領が任命したFTC長官がFTCの役割をどう捉えるかはまだ分からない。トランプ大統領と共和党は、企業が過剰な規制に縛られていること、そして市場が顧客のニーズを満たさない企業を破綻させることで問題を解決していると繰り返し主張してきた。
IoT分野は良い反例です。セキュリティとプライバシーに関する規制が存在しないことから、消費者の知識は不完全であり、品質の低いIoT製品の売れ行きを低下させるような相殺的な影響もありませんでした。多くの企業がIoT製品を製造しており、そのほとんどは輸入品です。Amazon、Alibabaなどのオンライン小売業者は、違法性や不具合が報告されない限り、メーカーが製品を審査したり拒否したりすることなく直接販売することを許可しています。
この分野において、FTCは壊れた市場を修復しています。新政権下では、これは依然として干渉と見なされるかもしれませんが、それは分かりません。具体的な規制が存在しない分野において、政権がまさにこのような形で消費者の利益を擁護する可能性はあります。
D-Link の苦情は、この種の苦情としては久しぶりになるかもしれないし、あるいは長い列の最初のものになるかもしれない。いずれ明らかになるだろう。
