No.010 特集:2020年の通信・インフラ
連載02 Security of Things(モノのセキュリティ)の時代へ
Series Report

自動車でのハッキング事例、続々と報告

IT業界では、ハッカーとの熾烈な戦いが日々繰り広げられている。2014年の1年間で、日本の政府機関へのサイバー攻撃は400万件あったという。2015年には、米国で8000万件近い個人情報が流出する史上最大の事件が発生した。世界では、1日当たり140万件近いデータの流出や消失が起きているという。この熾烈な戦線が、IT機器以外のあらゆるモノへと拡大する。既にいくつかの事件や実験的な試みで、IT機器以外の機器でも攻撃できることが実証されている。いくつか紹介しよう。事態の深刻さを実感できる事例ばかりだ。

まず実際にあった事件。米国では、自動車の販売会社が、自動車ローンの支払いが滞った場合の督促手段として、無線でエンジンの点火装置を無効化できる機器や、ホーンを鳴らすイモビライザーと呼ぶ機器を組み込む場合がある。2010年に、これが悪用され、自動車が動かなくなったり、真夜中にホーンが鳴らされたりする事件が発生した。当初は原因が解らず、解除も走行もできなかったため、バッテリーを外して工場までレッカー移動するしかなかった。後に逮捕されたこの事件の犯人は、自動車の販売会社に人員整理された元従業員で、他の従業員のIDとパスワードを利用して不正ログインしていたという。ハッカーならば、こうしたIDやパスワードを盗み出すのは比較的簡単だろう。

次は、実例ではなく実証実験。2013年、Twitterのセキュリティ研究者チャーリー・ミラー氏と米セキュリティ企業IOActiveのクリス・バラセク氏が、トヨタ自動車の「プリウス」とフォード・モーターの「Escape」のハッキングに成功したと発表し、自動車業界に衝撃が走った。同じ型のクルマの挙動から制御コマンドを割り出し、これを送信することで、ブレーキやハンドルの操作やメーター表示の変更ができたという。2015年にもふたりはクライスラーの「Cherokee」をハッキングし、遠隔地からブレーキを掛ける実験に成功している。

IoTのセキュリティ確保には人の命が関わっている

これも実験結果だが余りにも重大なことに、2013年に心臓ペースメーカーを不正操作できることが実証された。埋め込み型医療機器の電池寿命は5〜10年と長い。利用中に設定変更を行う必要性があるため、患者に負担を掛けることなく設定を変更できる無線通信機能が搭載されている。しかし、実際に使われていた心臓ペースメーカーのセキュリティ対策が不十分だったため、ウェブ上に掲載されていた公開情報を基にして、無線で設定変更ができたという。

最後に、背筋が寒くなる「Stuxnet事件」と呼ばれる2010年に起きたスキャンダル。Stuxnetとは、コンピューター・ウイルスの名称である。米ニューヨーク・タイムズの報道によると、このウイルスは米国とイスラエルの機関が開発したもので、開発過程で他国に流出してしまい、存在が明らかになったという。このウイルスの目的は、イランの核施設における遠心分離機を破壊すること。その手段は、Windowsの脆弱性を利用して侵入し、遠心分離機の回転速度に関わる制御システムに特定のコマンドを送るというものだ。このスキャンダルにより、重要施設の制御システムさえサイバー攻撃の標的にできることが実証されて世界は震撼した。実は、日本企業の生産設備を狙った攻撃は、既に頻発している。設計データの盗み出しや設備の生産能力の探査といったスパイ行為、施設の破壊などを狙った攻撃は、5分に1回のペースで発生しているという。

パソコンのセキュリティとの7つの違い

本連載では、第2回以降IoT時代のセキュリティ対策への取り組みとそこで使う技術について、ていねいに解説していく予定である。だだし、その前にキッチリと押さえておくべきことがある。パソコンなどIT機器とIoT関連機器では、セキュリティ対策を考えるうえでどのような違いがあるのかという点だ。両者に差がなければ、パソコンで使われている対策をそのまま使えばよい。しかし実際には、大きな違いがある。違いを生み出すポイントを、大きく7つに分類して紹介する(図3)。

セキュリティ対策を考える始点となるIT機器とIoT機器の違いの図
[図3] セキュリティ対策を考える始点となるIT機器とIoT機器の違い

図3に示した7つのポイントのうち1番目は、IT機器に比べて、搭載されているハードやソフトが非力なことだ。例えばセキュリティソフトなどを動かすためのプロセッサーやメモリーの仕様は、パソコンとは比べようもないくらいに低スペックである。低消費電力化や小型化といったIoT関連機器で当然のように求められる要件が重なれば、なおさらだ。パソコンでもセキュリティソフトが動作している時には、アプリケーションの処理速度が急激に遅くなる場面がある。パソコン向けの暗号化や認証、ウイルススキャンの仕組みをそのまま転用できないことは明らかだ。

こうした対策に向けたリソースの少なさは、開発や部品に費やすコストの制限が厳しいことに要因がある。シスコシステムズは、2020年には500億台のIoT対応端末が利用されるようになると予測しているが、その中心は3000〜4000円程度の価格帯。パソコン向けセキュリティソフトの方が、はるかに高価である。販売価格が高額な自動車は、セキュリティ対策に掛けるコストを比較的確保しやすい。しかし、いかんせん対策を要する部品の数が多すぎる。1台当り50〜100個搭載される車載コンピュータすべてに対策を施す必要があるため、一つひとつに掛けられる対策コストは結局わずかなものだ。

Copyright©2011- Tokyo Electron Limited, All Rights Reserved.