No.010 特集:2020年の通信・インフラ
連載02 Security of Things(モノのセキュリティ)の時代へ
Series Report

IoTはハッカーにとって、この上なく便利

なぜ、モノがインターネットにつながると、ハッカーの攻撃の心配をしなければならないのか。それは、テレビ、デジタルカメラ、エアコンも、プリンター、自動車、工作機・製造装置、医療機器、電力計やガスメーターも、機器中に組み込まれたコンピュータ上で動くソフトによって管理・制御されるようになったからだ。つまり、中枢部は、パソコンと何ら変わりない構造なのだ。

IT機器以外の機器は、ネットにつなげて使うことはほとんどなかった。産業機器や医療機器などは、専用ネットワークで相互接続することはあったが、誰もが使う公道であるインターネットにつなげることはなかった。インターネットにつながっていない機器を破壊したり、機器中の情報を盗んだりする犯罪者は、これまでにもいた。しかし、こっそりと機器にケーブルをつないだり、外に漏れる微弱な電磁波を頼りにしたりと、ハッカーにとってリスクと困難を伴う手法を使う必要があった。これが、インターネットにつながることで、遠隔地から、リビングルームでくつろぎながらでも悠々と攻撃できるようになったのだ。

現実社会の動きを自在に操る魔術師

また、ハッカーにとってIoTは極めて魅力的な仕組みであるといえる。そもそもハッカーが攻撃する目的は何か。1つは企業や社会が震撼する大きなインパクトを与えること、もう1つは機密情報の漏洩や破壊工作によって政治的、経済的な利益を得ることである。近年、生活・ビジネス・社会活動の中で、仮想空間上で行う処理や作業は急増している。それでも、現実世界で行われている活動は、それとは比較にならないほど多い。

IoTでは、こうした現実世界の活動を、仮想空間上の作法で動かすことになる。ハッカーの攻撃によって与えられるインパクトは、桁違いに大きい。工場での食料品の生産も、行き交う自動車の動きも、電力の供給も、病院の検診結果も自在に操作できる可能性がある。ハッカーにとって、世の中の動きを自在に操る魔術師になるチャンスが生まれているのだ。

実は、IoTが発展していく初期段階では、大きなサイバー攻撃は起きないのではと予想する声がある。これは、ハッカーが手を出せないからではなく、IoTが十分に普及する前では与えるインパクトも得られる利益も小さく、攻撃する理由がないからだ。セキュリティ対策が不十分なまま、生活・ビジネス・社会活動がIoTに頼り切りになったのを見計らって、ドカンと攻撃してくる可能性が高い。

これは、特許訴訟で莫大な収益を上げるパテントトロールと呼ばれる集団の戦略に似ている。そうした集団は、自らが保有している特許に抵触する企業を見つけても、その企業の売り上げが十分大きくなるまで泳がせておく。そして頃合いを見計らって、訴訟を起こす。インターネットにつながった環境下において、脆弱性を残した機器を放っておくと、取り返しのつかない事態を招くかもしれない。

お馴染みの技術を使う功罪

さらに、様々なものを動かすソフトが、「Windows」や「Linux」といった業界標準のOS上で動くことを前提に、誰でも利用できる状態で流通するオープンソースのソフト部品を活用して開発されるようになった(図2)。これは、ハッカーにとっては極めて都合がよい状況である。ハッキングのための知識がある、お馴染みのソフトが機器中に組み込まれているわけだからだ。大して勉強しなくても、攻撃が可能である。

セキュリティ関連のソースコードなどを容易に入手することが可能なソフト開発プロジェクトのための共有ウェブサービス「GitHub」の図
[図2] セキュリティ関連のソースコードなどを容易に入手することが可能なソフト開発プロジェクトのための共有ウェブサービス「GitHub」
図は、公開されているソフトと、それを利用するエンジニアのコミュ二ティの一例。電子機器を開発するメーカーやIT企業は、こうしたサイト上で公開されているソフトを入手し、IoT関連機器など多くの製品開発に利用するようになった。
出典:GitHubのホームページ

かつてのテレビや自動車などは、各メーカー独自の仕様の技術にこだわる開発を進めていた。特に日本企業にその傾向が強かった。しかし、機器の内部構造がどんどん複雑化していく過程で、自前技術にこだわる開発体制が非効率を招き、標準的な技術の外部調達を前提とした開発体制へと移行した。日本企業の自前主義が、国際競争力を低下させているという論調での戦略変更だった。しかし、セキュリティ対策の側面から見れば、この戦略変更は完全に裏目に出ている。

パソコンでメールや電子決済する時に「SSL」や「TLS」といった暗号化技術の名称を目にしたことがある人は多いだろう。実は、家電製品や産業機器などでも、セキュリティ対策として、こうした暗号化技術が使われている。ただし問題は、こうした暗号を利用するための機能をオープンソースのソフト部品を使って組み込んでいる例が多いことだ。標準のソフト部品であるため、そこに脆弱性があれば、脆弱性も業界標準になってしまう。ハッカーは、攻撃成功事例と同じ手口を、さまざまな機器に適用できるようになる。実際、2014年に、オープンソースの暗号化ソフトの一種「OpenSSL」の脆弱性が攻撃され、利用するメーカーが慌ててソフトを更新した事件があった。

Copyright©2011- Tokyo Electron Limited, All Rights Reserved.