ニュース
議論すべき時が来た組み込み機器のセキュリティ (1/2)
非接触ICカード「FeliCa」の暗号が破られたという報道があった。その内容はさておき、組み込み機器に存在する脆弱性について、真剣に議論すべき時期が来たようだ。
ソニーは12月21日、非接触ICカード「FeliCa」の暗号が破られ、偽の入金が可能だとする報道に対し、それを否定するコメントを発表した。
FeliCaは、電子マネー「Edy」「Suica」のほか、おサイフケータイクレジット「iD」「QUICPay」「VISATOUCH」といったサービスに採用されている(関連記事)。そのFeliCaの暗号が破られ、偽の入金が可能だとする雑誌内容に対しソニーは、「セキュリティ関連の事故報告は一件もない。また、暗号解読は確認されていない」とコメントし、報道を否定した(関連記事)。
この報道ではまた、暗号解析方法を発見した研究者らは、その旨を情報処理推進機構(IPA)に連絡し、IPAも暗号が破られたことを確認したと「みられる」としていた。
この点に関しIPAは、「情報が提供されたのは事実。しかしIPAには、ハードウェアの脆弱性について対応する権限や検証のキャパシティがないため、情報は受け付けていない。したがって、脆弱性の有無についても検証していない」(IPAセキュリティセンター長の三角育生氏)と回答した。ただ、情報自体は経済産業省に伝えたという。
当初の記事における指摘は、具体的かつ合理的な説明に欠ける(*注)。とはいえ今後、本当にICカードや携帯電話、デジタル家電といった組み込み機器に脆弱性が発見され、悪用される可能性は否定できない。むしろ、PCで利用されているソフトウェアやWebアプリケーションの状況を考えると、脆弱性が出てこない方がおかしいくらいだろう。
三角氏も「組み込み機器のセキュリティ問題については懸念している」と述べている。
組み込みのセキュリティはPCの歴史の繰り返し?
実際、組み込み機器に脆弱性が存在しないわけではない。組み込み機器に搭載されている「ソフトウェア」の脆弱性はIPAにも幾つか報告されている。また住商情報システムの調べによれば、組み込み機器のソフトウェアの脆弱性を狙ったExploit(攻撃コード)も増加している。
セキュリティ企業、米eEye Digital Securityのシニアソフトウェアエンジニア、鵜飼裕司氏は、組み込み機器のセキュリティは「一言で言えば、二極化している状況」だとコメントした。
同氏によると、少なくともファームウェアについては、PC用のOSやアプリケーションで積み上げられてきたノウハウを活用することが可能だという。このため、「設計から実装にいたるまで、PCなどで積み上げられているセキュリティに関するノウハウがシッカリ生かされている製品であれば」(同氏)、PC用のソフトウェアと同程度の安全性があると言えるという。
一方で「全体的な傾向で見ると、組み込みシステムは脆弱であるケースが多いというのが現状」だという(関連記事)。
「PCなどでは数年前に消滅したといっても過言ではないような古典的な脆弱性がいまだに多く見受けられる。パッチ適用率も低く、またベンダーの修正やアナウンスも十分ではないなど、まさに、PCの歴史を繰り返しているという側面もある」(鵜飼氏)
さらに、組み込みシステム独自の問題として、ハードウェアの設計に起因する脆弱性も挙げられるとした。
「例えば、回路に多少手を加えることで何らかの保護機構を簡単にバイパスできてしまったり、本来隠しておきたいデータがロジックアナライザーやJTAGエミュレーターで解析できてしまったりといった問題がある」(同氏)。これが、システムの性質や用途によっては致命的な問題となる可能性があるという。
「ハードウェア設計のセキュリティに関しても、ファームウェア同様、二極化が進んでいる」(鵜飼氏)
組み込み機器のハードウェアは脆弱性届出制度の「枠外」
PCのOSやアプリケーションの世界では数年前から、脆弱性情報の開示はどうあるべきかという議論を重ねながら(今もなお続いている)、一定のルールができあがってきた。現在では、ユーザーをいたずらに危険や不安にさらすことのないよう、まずベンダーにその旨を届け、対策を用意してから足並みをそろえて情報を公開するという「責任ある開示」が求められるようになっている。
*注 「暗号を破る」ことの議論においては、どんな暗号方式やアルゴリズムを使っているかもさることながら、どういった部分にどのように実装されているか、システム全体として検証することが非常に重要になる。例えばMD5やSHA-1といったハッシュアルゴリズムについては、以前からコリジョンが指摘されているが、実装によってそのリスクをある程度抑えることができる。逆にいくら「暗号化しています」という記述があっても、過去幾つかのWebサイトで見られたように、意味のない場所で使っていては実効性がない。
当初問題となった記事では、こうした詳細に踏み込んでの記述はなかった。かろうじて、ハードウェアを物理的に破壊し、ICチップを露出させる旨の記述があるが、これも、どういった情報の読み取りと改変が可能であり、どのように悪用される可能性があるのかについての説明はない。
[高橋睦美,ITmedia]
Copyright© 2012 ITmedia, Inc. All Rights Reserved.
「婚活」は転職活動によく似ている?
「犯罪収益移転防止法」にも完全準拠した、
気になる社会人大学院。仕事と両立可能?新着記事
- オリンパス元社長に渡したいバレンタインプレゼント
毎週土曜連載でお送りしている『カブ・ジェネレーション』。バレンタインチョコ売り場で何やら思いにふけるあずさ。彼女の悩みとは……。 - 出版界で、“田中旋風”が吹き荒れている
集英社は2月9日、田中慎弥さんの芥川賞受賞作「共喰い」の発行部数が20万部となったと発表した。 - 目先的な過熱感や達成感から週末の手仕舞いに押されて軟調
- 2012年の賃上げ、67.8%が「実施する」
2012年の春闘で、賃上げを予定している企業はどのくらいあるのだろうか。上場企業を中心に、産労総合研究所が調査した。 - 子どもの教育上、最適だと思う地域は?
首都圏に住み、私立小学校に通う子どもたちは、通学時間にどのくらいの時間をかけているのだろうか。子どもを私立小学校にかよわせている母親に聞いたところ、通学時間の平均は36分だった。アットホーム調べ。
キーワードランキング
新着記事
投資4コマ漫画『カブ・ジェネレーション』:オリンパス元社長に渡したいバレンタインプレゼント
誠 Weekly Access Top10(2012年1月28日〜2月3日):最もマヨラーな都市は青森市
連載記事一覧
投資4コマ漫画『カブ・ジェネレーション』:オリンパス元社長に渡したいバレンタインプレゼント
アクセスランキング
- 東京駅ではどんなお土産が売れているの?(2012年02月07日)
- 実力だけじゃダメ、プレッシャー耐性も必要な時代に(2012年02月06日)
- 首都圏の沿線で、“学力偏差値”が高いのどこ?(2012年02月06日)
- 第2のイケアとなるのか 北欧の「100円ショップ」が上陸(2012年02月06日)
- 専門家に聞く、不気味な揺れが続く首都圏について(2012年02月09日)
- タバコを吸う本数と年収の関係(2009年10月20日)
- 正社員の平均年収は449万円、たくさんもらっている業種は?(2011年12月06日)
- 首都大地震で、“難民”があふれ返る危険なルート(2012年02月08日)
- 新幹線「300系」は、なぜスピードを追い求めてきたのか(2012年02月03日)
- 首都直下型“50%以下”に修正されたワケ(2012年02月07日)
