出荷状態のままで使用するユーザーもいるんです！：組み込みシステムに迫りくる脅威（1）（3/3 ページ）

[黒木秀和（ユビテック ユビキタス研究所）／監修：独立行政法人情報処理推進機構，＠IT MONOist]

情報家電のライフサイクル

　以下は、情報家電のライフサイクルの概要を示したものです。

開発段階

　メーカーにおいて情報家電の製品が企画され、製品の設計書や仕様書などが作成される段階です。設計書や仕様書には、機密情報（動作手順、暗号化・復号に用いる鍵など）が記載されています。

製造段階

　メーカーの工場において情報家電が製造される段階です。メーカーには、情報家電のハードウェアやソフトウェアのマスターとなる情報が保管されています。

運用段階

　利用者が家電量販店などを通じて情報家電を購入し、利用する段階です。利用者は個人情報を含む情報を情報家電上に記録したり、音声・音楽・画像・映像などのコンテンツを情報家電上に保存したりします。コンテンツの中には、利用者が作成したビデオなどのプライベートコンテンツも含まれます。また、情報家電の機能アップグレードや不具合修正などを目的としたファームウェアアップデートが実施されることがあります。さらに、中古店への販売や他人への譲渡などにより、複数の利用者により使い回して利用されることもあります。

廃棄段階

　利用者によって個人情報やプライベートコンテンツなどが消去されることが推奨されていますが、実際には消去し忘れが少なくないと想定されます。

　これらを図に表すと以下のようになります（図5）。

図5　情報家電のライフサイクル

情報家電に含まれる「情報」とは？

　情報家電には、以下のような情報が内部に含まれていると考えられます（表4）（表5）。

	保護資産	発生	説明
	コンテンツ	運用段階	音声・画像・動画などのマルチメディアデータ（商用コンテンツ利用時の著作権管理データおよびプライベートコンテンツなど）、コンテンツ利用履歴（コンテンツの利用履歴も保護することが重要）など
	利用者情報	運用段階	利用者に関する個人情報（利用者氏名／住所／電話番号／クレジットカード番号など）、利用者認証情報、利用履歴など
	機器情報	製造段階	情報家電そのものに関する情報（機種、ID（Identification）、シリアルIDなど）、機器認証情報など
	ソフトウェアの状態データ	運用段階	各ソフトウェアに固有の状態データ（動作状態、ネットワーク利用状態など）
	ソフトウェアの設定データ	製造段階	各ソフトウェアに固有の設定データ（動作設定、ネットワーク設定、権限設定、バージョンなど）
	ソフトウェア	製造段階	OS（Operating System）、ミドルウェア、アプリケーションなど。ファームウェアと呼ばれることもある
表4　情報家電上の情報

	保護資産	発生	説明
	設計データ 内部ロジック	開発段階	製品企画・設計段階で発生する仕様書・設計書などの設計情報
表5　そのほか

　これらの情報について、情報家電のライフサイクルに当てはめて分類した結果を図6に示します。

図6　AV家電の「情報」をライフサイクルに当てはめて分類

　図6を見てお分かりのとおり、システムに関する情報は製造段階で、利用者に関する情報は運用段階で発生するものが多く、その中のほとんどが廃棄段階に残っています。

　次に、情報家電に含まれる情報にいかなる種類の脅威が存在し、それらに対してどのように対策を行うべきかについて紹介します。

情報家電の脅威とその対策

　これまでに挙げてきた、情報家電に含まれる情報とそのライフサイクルを基に各段階で発生し得る脅威について、STRIDEモデルで分類した結果を図7に示します。

図7　STRIDEモデルで分類した情報家電の脅威

　ネットワーク機能を付加することにより、情報家電が扱う情報に対する脅威は「ネットワーク」や「サーバ（情報家電にサービスを提供する外部のサーバ）」などに広がっていくことが分かります。なお今回の調査では、分析を容易にするため、情報家電本体にかかわる情報にフォーカスして脅威を分析しています。

　それぞれの脅威や対策の詳細は、IPAの「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書」を参照していただくとして、ここでは、STRIDEモデルで分類した情報家電における脅威への対策の概要を示します（注）。

※注：今回、分析・調査した“情報家電”の脅威の中には「権限昇格（Elevation of Privilege）」が含まれておりませんので、こちらの対策についての概要は割愛します。

漏えい

　情報家電上のソフトウェアが扱う設定情報、機器情報、利用者情報などには、個人情報や情報家電の安定した動作に必要な情報が含まれています。ソフトウェアの誤動作や不正な書き換えにより情報漏えいが起こらないように、ソフトウェアの脆弱（ぜいじゃく）性に関する対策を行う必要があります。特に、設計情報や組み込まれたソフトウェア、ネットワーク上に流れるデータを分析して、不正行為に利用するケースが多いため、それらの保護対策を講じる必要があります。

　また、プライベートコンテンツが漏えいすることにより利用者のプライバシーが損なわれる危険性がありますので、情報家電上のコンテンツについても同様の対策が必要となります。

改ざん

　情報家電上の改ざんは、漏えいと同様の方法で行われる場合が多いと考えられます。ただし、ある情報家電上のソフトウェアや設定情報が改ざんされると、その情報家電が不正な行為に利用され、家庭内やほかの家庭の情報家電やPCに悪影響を与える危険性もあります。改ざんへの対策は、まず上述の漏えいへの対策をしっかりと行う必要があります。そのうえで、改ざんされたソフトウェアやハードウェアを検出し、発見した場合は情報家電の動作を停止する措置も必要となります。特に重要な情報については、耐タンパー性（物理的にこじ開けたり、不正に線をつないだりしても情報を読み出すことができない強固な性質）のあるセキュリティチップに格納し、解析や改ざんができないようにする方法もあります。

なりすまし

　利用者やメーカーになりすまし、不正に情報家電を利用することで、情報家電上の情報を不正に取得されたり、改ざんされたりする可能性があります。なりすましを防ぐには、利用者や接続されるほかの機器に対して、適切な認証（生体認証、パスワード認証、電子証明書など）を行うことが有効です。

否認

　否認とは、利用者が情報家電でアクセス可能な有料サービスを利用した後に、その事実を本人が否定することです。これを防ぐには、サービスを提供しているサーバにおいて、利用の事実を示す詳細なログを残すことが必要です。さらに、電子署名や時刻認証などによって、コンテンツ利用の事実を確実に証明できる仕組みを設けることも有効な手立てとなります。

DoS

　DoSは、外部から大量の通信トラフィックを送り付けて情報家電や情報家電が接続されたネットワークのリソースを占有したり、あるいはセキュリティホールを狙った攻撃をされることです。外部から多数の不正なアクセスを受けて動作が極端に遅くなったり、ソフトウェアを破壊されたりして、情報家電が正常に動作しなくなることが想定されます。

　これに対しては有効な対策がないというのが実情ですが、アクセス制御を行ったり、情報家電が設置されているネットワークのセキュリティ設定（ブロードバンドルータなどの設定）を適切に設定したりすることで、ある程度の対処は可能です。これらは、利用者側での対策も必要になる場合もありますので、情報家電の操作説明書などで、対策例を分かりやすく明示しておくことが重要になります。

---

　以上が、情報家電とそこに含まれる情報に発生し得る脅威、脅威ごとの対策（対策の方針）についての説明です。

　情報家電がネットワーク機能を持ち、インターネットに接続されることにより、利便性だけでなくさまざまな脅威も発生します。また、その多くは利用者側では対処が難しいものであり、数十万、数百万といった家庭が利用する製品についてはその影響も多大なものとなります。

　こうした脅威に対抗するためには、各メーカーが情報家電の設計・開発時に情報セキュリティについて十分に検討し、対策を施すことが重要となります。また、情報家電の設計者や開発者については常に情報セキュリティに気を配り、さまざまな脅威とその対策について知識と経験を積み重ねていくことが大切となります。

　ちなみに、今回の内容や次回以降で解説する内容（「携帯電話」「カーナビ」）については、2007年11月14日（水）〜16日（金）にパシフィコ横浜で開催されるEmbedded Technology 2007のIPAスペシャルセッションや展示会場内IPAブースでも取り上げているそうです。

　次回は“「携帯電話」における情報セキュリティ”について解説します。（次回に続く）

参考：IPA（独立行政法人情報処理推進機構）

>> 組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書 <<