セキュリティー新時代(4)攻撃者目線の評価が重要

2018-10-04

機器のバックドアに注意

最近、ルーターなどのネットワーク機器に開発段階で組み込まれたバックドア(ネットワーク経由で機器に接続して操作するための非公開の仕組み)が第三者によって発見、報告される事例が国内外で散見されている。

こうしたバックドアは開発製造元が機器のメンテナンス用に「隠し機能」として実装する場合もあれば、一開発者が設計とは無関係に秘密裏に実装する場合もある。いずれも公式には開示していない・隠蔽している点で共通する。その存在が特定されて悪用された場合、第三者から機器を遠隔操作される恐れがあり、機器の利用者にとってはセキュリティー上の重大な問題になり得る。

では、誰がどのようにしてこうした欠陥を見つけ出しているのだろうか?米ラスベガスで毎年開催される世界最大規模のセキュリティー会議「ブラックハット」での発表内容を調べると、過去5年ほどで有意な変化が見て取れる。

少し前までは、ウィンドウズパソコンなどオフィスで使うIT(情報技術)製品を対象とした脅威の分析や実証などに関する発表が一定の割合を占めていた。それが年々、車載システム、電力設備、複合機などの組み込み機器、制御システムへの攻撃技術に関する発表が増加している。

背景にはオフィス用のIT機器が2000年前後に比べて相対的に堅固になってきていること、最近増えているIoT(モノのインターネット)やネットにつながる製品が必ずしも過去のIT機器の教訓を生かした堅固な設計、実装になっていないことが挙げられる。

また、IoT機器などは社会インフラの中で利用される場合も多く、セキュリティー上の問題が発見された場合、影響が大きいこともある。セキュリティー研究者の関心が影響の大きいこうした機器・製品に対する脅威の分析や実証に移り、研究テーマとして選ばれているものと考えられる。

この連載でも取り上げたが、ある自動車のハンドルが遠隔操作できることが実証され、リコールになった事例も、この会議での研究発表によるものだ。

このように新技術の台頭に伴いセキュリティー研究者、ひいては攻撃者の関心も推移している。社会的な問題に発展する恐れもあり、製品を開発製造する企業にとって製品セキュリティーの構築は欠かせない取り組みといえる。

表1:「つながる車」の脆弱性の具体例

攻撃者の視点で欠陥把握

サイバー攻撃の対象が、従来のパソコンなどから、インターネットにつながる様々な製品へ急速に移ってきている。何かあった場合、社会的な影響も大きいだけに、製品を開発製造する企業の対策は欠かせない。では、どのような方法で防げるのか。それを見つける手法の一つが、サイバー攻撃者の視点になってみることである。攻撃者がどのような手段でセキュリティー上の欠陥を発見しているのか、それを踏まえてどんな対策が有効なのかを紹介したい。

製品のセキュリティーの欠陥を発見する上で、サイバー攻撃者にとっての最大の障壁となるのは、製品本体と関連情報をそれぞれ入手することである。攻撃対象となる製品は自動車のように一般に購入できるものだけではない。特定業界でのみ利用され、一般に流通しないものも存在する。こうした製品をどうやって手に入れているのか。一般に売られていない製品の入手は、オークション(競売)サイトや中古市場の利用が報告されている。

製品を入手した後は、中身の分析だ。最終的に遠隔からの攻撃可能な脆弱性を発見することを目的に、ハードウエアおよびファームウエア(ハードの基本的な制御をするソフトウエア)の両面から解析する。一般にファームウエアはプリント基板上にはんだ付けした不揮発性メモリー上に格納しており、当該メモリーを基板からはがし、内部のファームウエアを電子的に抽出する。その上で当該ファームウエアを解析してソフトウエア上の脆弱性を発見するなどの行為を行う。

こうした攻撃者のやり方を踏まえ、これに対抗するには、どんな方法が考えられるのか。理想的にはセキュリティーの仕様を事前に定義し、設計から出荷に至るそれぞれの工程で適切に評価し、問題を排除することである。そうすることで、万が一こうした解析をされたとしても脆弱性が存在しない状況を作り出すことができる。

しかし、開発製造する企業での評価は必ずしもこのような第三者による攻撃を想定しているとは限らない。このため、評価の観点として必要な要素が欠落している事例が多々存在する。

こうした対策の欠落を防ぐにはどうすればよいのか。まず、最新のサイバー脅威の動向の把握が挙げられる。攻撃者や攻撃技術のトレンド、実際の攻撃事例などを継続的につかみ、セキュリティーのアンテナを張り続けることが重要である。

次にこうした攻撃者の視点によるテスト(疑似的ハッキング)の実施が挙げられる。テストの内容および結果を通してリアルな攻撃者の観点、手法を理解し、自社の評価の観点に取り込むことが有効である。

図1:攻撃者の視点での検証(手順と概要)

村上 純一

シニアマネージャー, PwCコンサルティング合同会社

Email

※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。

※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。

※法人名、役職などは掲載当時のものです。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}