ISIT | アイ・エス・アイソフトウェアーがお届けするIT通信

第六回 埋められない穴

サイバー攻撃に対する備えの乏しいコネクテッドカーの普及は、自動車窃盗団にとって素晴らしい時代の到来となることでしょう。

もはや自動車を1台ずつ盗み出すようなことをしなくても、コネクテッドカーのメンテナンス・システムに侵入することができれば、一括して車を乗っ取ることができるようになるからです。

毎年夏に米国で開催されるセキュリティカンファレンスでは近年、ハッキングされやすい車の車種とその手法に関する研究結果が報告されており、その報告数は年々増加しています。

2015年には、米国自動車メーカーのクライスラー(当時)が、同社の自動車が遠隔で乗っ取られる可能性があることから、140万台をリコールし無償で回収と修理を行いました。
2016年には、米国金融機関のモルガン・スタンレーが、自動車に占めるソフトウェアの価値は今の10%から向こう10年で60%に上がるだろうと予測しています。
そして、米国では2021年に販売される自動車の50%以上が、車両間通信技術を搭載していると予想されており、侵入検知システムや暗号化などによってサイバー攻撃に対する予防と保護が連邦高速道路局によって義務化されます。

また欧州でも同様に、EUの政策執行機関である欧州委員会によって、自動車から送出されるC-ITS(協調型高度道路交通システム)データは個人情報であると定義し、ユーザーからの同意とデータ保護関連規則への対応が必要となります。
今後、欧州委員会による指導書類が2018年を目処に公開される予定です。

そして、2013年には私の友人であるスペイン人セキュリティ技術者のH氏が、飛行機のシステムに侵入し乗っ取ることのできる携帯アプリを開発して世界を驚かせました。

もはや乗客を装ったテロリストが飛行機と運命を共にしなくても、ネットワークに繋がった端末さえあれば同じようなこと、もしくはそれ以上のことができてしまうのです。
2014年に東南アジアの航空会社の機体が突如消息を絶った時には、ハッキングの可能性も考えたFBIにH氏は捜査協力をしています。

自動車や飛行機の場合、人命に直接的に影響を及ぼすものであることから重要な議題とされ、現在運用されているものの場所も概ね把握することができ、車検などの定期的なメンテナンスやリコールなども法律で定められているため、脆弱性が見つかった場合の対応は「比較的」実施に向けて動き易いです。

では、急速に普及している家電のIoT機器はどうなのでしょうか。

例えば、部屋の照明などは電球が切れたら交換しますが、新型の照明が発売されたからと頻繁に買い換えるものでもありません。更に、LED化などで製品のライフサイクルは更に延びています。

そのため、開発時には考えられなかったようなセキュリティリスクを長期間の利用中に抱えることになる可能性があります。
また、残念なことにそもそもセキュリティという視点の無いまま開発が進められ、市場に出回ってしまっている製品も存在します。

家電のIoT機器はLinuxやAndroidなどの汎用的なOSで動作しているものも多いため、該当するOSの脆弱性によるリスクの多くが、同時に当てはまってしまいます。実害としては、迷惑メールの発信元を追跡して調べていったら、一般家庭にあるスマート冷蔵庫にたどり着いたなどという調査報告もあります。

また、特に家電のIoT機器の開発では、開発期間短縮とコスト削減のために、サードパーティのコードライブラリを用いて開発されることも多いです。ここに脆弱性が存在した場合、一様にセキュリティリスクを抱えることになります。

これを逆手にとって、Androidなどでは悪意を持った者によって不正侵入を行うためのバックドアを仕込まれたコードライブラリも確認されています。

すぐにセキュリティ対策のための更新ができない、もしくは更新しづらいIoT機器の普及は、ネットワークを介して繋がる、異なるシステムや業界のセキュリティレベル低下を招く恐れがあります。

執筆者

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。 テレビのコメンテーターなどにもアドバイスを行なっている。

セキュリティ特集

  1. 第一回 サイバー犯罪の代理人
  2. 第二回 サイバー世界の武器商人
  3. 第三回 セキュリティ上の欠陥
  4. 第四回 脅威に変わるとき
  5. 第五回 セキュリティ対策がされていない
  6. 第六回 埋められない穴
  7. 第七回 スマート化する世界
  8. 第八回 狙わない理由はない