カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

良いニュースだ!

California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。

その法律によると、ルーターやスマートホーム製品など、同州で生産されるすべての新しいガジェットは、最初から“リーズナブル”なセキュリティ機能を持っていなければならない。とくにパスワードについては、各デバイスが、あらかじめプログラミングされたユニークな(他機と共通でない)パスワードを持っていなければならない。

また、新しいデバイスはどれも、ユーザーがデバイス固有のユニークなパスワードを入力してそれを最初に使用するとき、新しいユーザー固有のパスワードの設定を求め、その設定を終えたあとにのみ、最初のアクセスを認めるものでなければならない。

何年も前から、ボットネットたちが、セキュリティのいい加減なデバイスを利用して、大量のインターネットトラフィックでサイトを襲撃してきた。その大量のトラフィックによる攻撃は、分散型サービス妨害攻撃(distributed denial-of-service, DDoS)と呼ばれている。ボットネットが目をつける‘いい加減なセキュリティ’の典型が、デバイスに最初から設定されている、そしてユーザーがそれを変えることもない、デフォルトパスワードだ。上に例を挙げたような、よく使われるデフォルトパスワードは、そのリストがどこかに公開されているので、マルウェアはそれらを利用してデバイスに侵入し、そのデバイスをハイジャックする。そして、ユーザーの知らないうちにそのデバイスは、サイバー攻撃の道具にされてしまう。

2年前には、Miraiと呼ばれる悪名高きボットネットが、何千台ものデバイスを悪用してDynを攻撃した。Dynは、多くの大型サイトに、ドメインネームサービス(DNS)を提供している。DDoSでDynが麻痺してしまうと、これに依存しているサービスに誰もアクセスできなくなる。被害サイトの中には、TwitterやSpotify, SoundCloudなどもいた。

Miraiは、比較的単純素朴な、しかし強力なボットネットで、デフォルトパスワードを悪用していた。今度の法律でデフォルトパスワードというものがなくなれば、このタイプのボットネットは防げるが、でもセキュリティの問題はほかにもたくさんある。

もっと高度なボットネットは、パスワードには見向きもせず、個々のIoT(物のインターネット)デバイスの脆弱性につけこむ。その典型的なデバイスは、スマート電球、アラーム、家庭用電子製品などだ。

IT評論誌The Registerの指摘によると、今回のカリフォルニア州法は、バグが見つかったときのソフトウェアのアップデートを、デバイスのメーカーに義務付けていない。大手のデバイスメーカー、Amazon、Apple、Googleなどはソフトウェアを常時アップデートしているが、無名に近いブランドの多くはやっていない。

しかし、そんな現状でも、この法律は、何もないよりましである。今後もっともっと、改定していただきたい。

[下の引用記事(未訳)の関連記事]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Californiaの新法で各種ネットサービスの途中解約がさわやかに明快にできるようになった

7月1日に発効するカリフォルニア州の新しい法律により、オンラインのサブスクリプションをキャンセルすることがずっと容易になる。州上院議員Bob Hertzberg(民主党-ヴァンナイズ選出)が法案を提出したこの法は、州内のすべての有料サービスを対象としているが、州外の顧客の不満にも対応できる。

この法律: California Senate Bill No. 313は、“この州の消費者にサービスの自動的更新や継続を行ういかなるサービスをも”対象とし、したがって対象業種はきわめて多様であり、新聞や雑誌、サブスクリプションボックス(毎月届く福袋ならぬ‘福箱’)、ストリーミングサービス、などなどを含む。またこの法の規定により、オンラインでサブスクリプションした人はオンラインでキャンセルできる。これまでのような、会員登録はネットで簡単だったが解約はカスタマーサービスに電話をして、いろいろアタマにくる経験をする、ということがなくなる。

法はまた、プロモーション的提供物の提示の仕方に、透明性を要求している。たとえば無料の試用やギフトでユーザーを釣る場合も、試用期間が終わったら料金はどうなるのかなどについて、“明快な説明”を最初の時点でしなければならない。また課金前(試用期間のみ利用)のキャンセルを可能とし、キャンセルの仕方を最初の時点でユーザーに教えなければならない。

またプロモーション期間が終わって通常料金に移行する場合には、事前にユーザーの承諾を得なければならない。高い料金を黙って勝手に、ユーザーのデビットカードやクレジットカードに課金してはならない。

ニュースサイトNieman Labによると、カリフォルニアの多くのニュース企業がすでに、自分たちのシステムを新法に適合(コンプライアンス)するように、変えている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

オーストラリアでAppleが一部の顧客サービスを断って$6.6Mの罰金刑を食らう

【抄訳】
Appleはオーストラリアの消費者権利団体からの訴訟により、900万オーストラリアドル(660万USドル)の罰金刑を食らった。原告は、以前サードパーティに修理させたデバイスがiOSのアップデートにより使用不能になったときの、Appleの対応を問題にしていた。

公正な競争と消費者保護のための政府機関、オーストラリアの競争と消費者委員会(Australian Competitor and Consumer Commission, ACCC)は、所有者がAppleのiOSオペレーティングシステムのアップデートをダウンロードすると、一部のiPhoneとiPadが動作しなくなるエラー(‘error 53’, 下図)に関する、一連の苦情を調査した。

ACCCによると、Appleは2015年2月から2016年2月にかけて、AppleのアメリカのWebサイトや、オーストラリアの店内スタッフ、それに顧客サービスの電話がそのこと〔使用不能と顧客対応〕を認めた。彼らはerror 53を経験した少なくとも275名のオーストラリアの顧客に、そのデバイスがサードパーティによって修理されていたら救済の対象にならない、と告げた。それが、今回の訴件だ。

画像クレジット: 70023venus2009 Flickrより, CC BY-ND 2.0のライセンスによる

裁判所は、Appleのその態度はオーストラリアの消費者法に違反している、と判決した。

ACCCのSarah Court委員は、声明で次のように述べている: “オーストラリア消費者法(Australian Consumer Law)では、製品に欠陥があれば顧客は修理または交換、ときには返金の法的権利を有する。Appleの代表者たちは顧客に、自分はサードパーティの修理屋を利用したから自分の欠陥デバイスに関して救済を拒否される、と信じこませようとした”。

“裁判所は、「iPhoneまたはiPadがApple以外の者によって修理されたという事実だけでは、消費者保証の停止や消費者の救済の権利が消滅する結果にはならないし、なりえない」、と宣言した”。

ACCCによると、Apple Australiaは、法的強制力により、スタッフの教育訓練の改善や、保証に関する監査情報とオーストラリア消費者法を同社Webサイト上に載せることを行い、今後のコンプライアンスを確保するためにシステムと手続きを改良することになった。

さらにACCCによると、この判決によって解消した懸念は、Appleが交換用に再生機を提供していた、前に大きなエラーを被った品物を再生機として利用していたという疑念だ。実際にはAppleはそれらの状況において、消費者が要求すれば新しい製品と交換していた。

“iPhoneやiPadを買った人が重要な欠陥に悩まされたら、返金が当然だ。交換を希望する顧客には、再生品でなく新品を渡すべきだ。新品があるかぎりは”、と裁判所は言う。

裁判所はまた、オーストラリアAppleの親会社Apple USにも、子会社がやったことへの責任がある、と論じた。裁判所は、グローバル企業も、その返品に関する方針は各国の(ここではオーストラリアの)消費者法を遵守すべきであり、守らなければACCCのアクション〔==訴訟〕の対象になる、とも主張した。

Appleは昨年12月から今年1月にかけて、あの人為的性能劣化問題で、同様の消費者問題の爆撃を被(こうむ)った。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

製薬企業のサプライチェーンからにせ薬を撃退するTraceLinkがさらに$60Mを調達

このお天気の良い金曜日(米国時間6/8)の午後、SECが処理したばかりのTraceLinkは、薬を調べて偽薬(にせぐすり)をの処方を根絶やしにしようと努力しているSaaSだ。同社はこのほど、シリーズDで6000万ドルを調達した。

SECのファイルによると、参加した投資家は18社で、そこにはたぶんGoldman Sachsもいる…同社の成長資金部門は約18か月前にTraceLinkのシリーズC 5150万ドルをリードしている。この9歳になるスタートアップの初期の投資家には、ほかにFirstMark Capital, Volition Capital, F-Prime Capitalらがいた。

本誌TechCrunchのライターJordan Crookがそのときに書いているが、TraceLinkは製薬企業のサプライチェーンを、各国のコンプライアンス要件に応じて調べる。これはとくにアメリカでは、2013年のDrug Supply Chain Security Act(薬剤サプライチェーン安全法)によって重要性を増している。この消費者保護法は、消費者を偽薬や盗品薬、汚損薬などから守ることがそのねらいだ。

この法律が施行されたときには、業界は今後10年以内に最小単位レベルのトレーサビリティを確立することが、義務化された。その期限が5年後に迫っている。

さらにTraceLinkにとって追い風になっているのは、麻薬だ。その拡大は90年代の後半以降とくに激しく、薬剤のサプライチェーンにおいてそれに対する脆弱性を摘出すべし、という圧力がますます強くなっている。

同社が今、上場に備えて四半期ごとの売上や顧客数の伸びを報告するようになったのも、不思議ではない。まさに、2週間前の同社の“成長ハイライト”によれば、同社の2018Q1の売上は前年同期比で69%も伸びたのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa