ITと経営の融合でビジネスの課題を解決する
ビジネス+ITとは?
ログイン
新規会員登録
メルマガ登録
ビジネス+ITとは?
関連ジャンル
10月、あるセキュリティエンジニアのツイートから、H.I.S.ホテルホールディングスが運営する「変なホテル」のベッドサイドに設置されるアシスタントロボットの脆弱性が指摘され、ホテル・ベンダーが対応に追われる問題が発生した。その少し前、パナソニックやKDDIらが「LIFE UPプロモーション」というプロジェクトを発表した。家電・IoTセキュリティの問題はいまさら感があるが、2つの事例は、企業、ユーザー双方に、今後のIoTへの接し方を考えさせられるものだ。
フリーランスライター 中尾真二
フリーランスライター 中尾真二
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。
<目次>▲ 閉じる▼ すべて表示
いずれにせよ、賞金目当てのバグバウンティを含めて、外部からの脆弱性報告の扱いは難しい。脆弱性情報についてはグローバルな枠組みがあり、一般論に言えば、しかるべき機関・組織(日本ならNISC、JPCERT/CCなど)以外からの脆弱性報告は、その信ぴょう性から疑ってかかるのは無理からぬことだ。 事件の経緯と結果だけをみて、ホテルやベンダーの対応を批判するのは簡単だが、そこは問題の解決や自身の防衛にはあまり貢献しない。サービス提供者や開発ベンダーが教訓とすべきは、バグバウンティやソーシャルデバッグについての認識を持つことと、IoT機器の場合、PCやサーバ以上に「物理的な接触によるハッキングや汚染、攻撃に注意が必要」ということだろう。 建物やデータセンターで守られたPC・サーバと違い、持ち歩いたり屋外に設置されるIoT機器のリスクはバリエーションが広い。この点はスマートフォンやタブレットにも当てはまる。無線LAN、Bluetooth、NFC、赤外線、USB端子、SDスロット、イヤホンジャック、電源ケーブルなど、さまざまな攻撃ベクターが存在し、それぞれが脅威を導入し得る。 イヤホンジャックは、Androidのスマホに存在した脆弱性だ。デバッグモード用として、イヤホンジャック経由のシリアル通信が可能なバージョンがかつて存在した(現在は修正済み)。電源ケーブルをピックアップすることで、そのノイズから信号を読み取る技術も研究されたこともある。開発側は、出荷バージョンでは使わない機能はハード、ソフトともに実装しないのが鉄則だ。開発中の名残や将来的な拡張性、メンテナンス用にあえて実装する場合は、最終的な仕様チェックと対策を怠らないようにすべきだ。 ユーザー視点では、「IoT製品はセキュリティ対策を施しにくい」という意識を持つことが重要となる。製品のサイズ、値段、設置場所、使用方法、目的が多様すぎて、すべての対策をまとめることが難しい。特に値段とサイズの問題は大きい。単価が安い製品は対策コストも限られる。 端末側、エッジ側で処理できない、対策に必要なリソースを確保できない場合、一般的にはサービス提供者や開発ベンダーに、ネットワークやハブノード、クラウド上でセキュリティ対策を考えてもらうしかない。トラフィック監視やログ監視によって、不正・不審な通信、処理を検知して予防や対策につなげるといったものだ。 これらは、ユーザー側から制御できないので、対策は提供者・ベンダー任せとならざるを得ない。 しかし、だからといって悲観的になる必要もない。ネットワーク以外のほとんどの攻撃ベクトルは、機器本体に接近するか、直接触れるかしないと攻撃が成立しない。変なホテルのロボットの事例も、発見者は実際にこのホテルに宿泊して、実機に直接侵入している。物理的なアクセスには物理的なセキュリティで対応が可能だ。ホテルやレストランなど、入退室や利用者のスクリーニングは難しいが、IoT家電は家の中ということで一定の物理セキュリティ(入退室管理)が期待できる。 なお、変なホテルの事例では、単にロボットのNFC機能を無効にして署名のないコードを受け付けないようにすれば良い。どちらもソフトウェア的な対策が可能なものだ。 MJIは、すでに対策済みと発表している。また、NFCを搭載したロボットは舞浜に設置したものだけだそうだ。【次ページ】「企業すらも脅威の1つになる」という認識一覧へ
一覧へ
一覧へ
PR
SBクリエイティブ株式会社
ビジネス+ITはソフトバンクグループのSBクリエイティブ株式会社によって運営されています。
Copyright © SB Creative Corp. All rights reserved.
ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!
登録メリット会員登録(無料)