メーカーを悩ませる組み込み機器の想定外の使われ方続・組み込みシステムに迫りくる脅威(3)(2/3 ページ)

» 2008年06月09日 00時00分 公開
[黒木秀和(ユビテック/監修:独立行政法人情報処理推進機構),@IT MONOist]

想定外の利用方法に潜む脅威と注意点(2)〜利用シナリオに潜む脅威

 利用者は、時には設計者や開発者が思いもよらなかった利用方法を思い付き、より便利に、あるいはより自分の好みに合わせた使い方をする場合があります。また、その組み込み機器が出荷された後に新しい技術や製品が出てくることによって、設計・開発時には想定していなかったような使われ方がなされる場合もあります。では、このような場合、どのような脅威が考えられるでしょうか?

 情報家電、携帯電話、カーナビなどの機器は設計・開発時にあらかじめメーカーが想定した使用方法があり、その想定に沿って利用されるものとして製造されています。しかし、いったん販売されて利用者の手に渡ると、利用者によってまったく新しい使われ方をされたり、新しく登場した機器と接続されたりするなど、機器を設計・開発した時点では想像もしていなかったような使われ方がなされる場合があります。

 例えば、カーナビ内部のHDDが直接家庭内ネットワークにネットワークディスクとして接続されるケースは、情報家電からすると想定していなかった使われ方です。また、携帯電話に搭載されているICカード機能は定期券や自宅の鍵として利用されることは想定していましたが、コインロッカーの鍵としての利用は当初想定していなかったものと考えられます。さらに、USBインターフェイスを持つ機器とPCなどを特殊なケーブルで直接つなげてしまうといった利用も想定していなかったケースといえるでしょう。

「想定外の利用」に潜む脅威(例) 図1 「想定外の利用」に潜む脅威(例)

 このような機器の製造時に想定していなかった利用や接続がなされた場合、(想定外であるが故に)セキュリティ対策がまったくなされていなかったり、脆弱(ぜいじゃく)性が新たに判明したりする可能性が高く、そのリスクも大きくなります。

 こうした状況において、次のようなことが脅威として懸念されます。

安易な利用による危険性の増大

 一般の利用者は、使用している機器がどのような設計に基づいて作られているのかについて知ることはできません。知ることができるのは使用説明書などに書かれているメーカーが想定した利用方法のみです。

 その一方でインターネットが普及した今日では、一部の利用者がその機器を利用したまったく新しい便利な使い方を思い付き、それを自身のホームページなどで紹介することで、ほかの利用者に“想定外の利用方法”が広がっていくことが考えられます。

 同じ機器を所有する利用者同士の情報交換は機器の利用や販売を促進する半面、想定外の利用方法が便利なものであればあるほど、ほかの利用者はその安全性など深く考えることなく便利だという理由だけでまねをしようとします。こうした安易な行動により、機器に格納されている情報を危険にさらしてしまうことも十分に考えられます。

流通する情報の増大や拡散

 メーカーが想定している利用方法の範囲内であれば高い安全性が保たれていて、漏えいする可能性がほとんどない機器内のさまざまな情報も、想定外の機器と接続されることによって、その機器を介して情報が外部に漏えいすることが考えられます。このため、機器に格納されるありとあらゆる情報へのセキュリティ対策を施すことが求められます。

 しかし、一般的に販売されている機器は家庭内ネットワーク内においてのみ利用されることが想定されているため、まったくセキュリティ対策を施されていない、あるいは必要最小限しか対策を行っていないといった機器が多数存在します。こうした機器が想定外の機器と接続されることで、その内部に含まれる情報が保護されないままインターネットなどを介して拡散してしまう可能性が考えられます。

情報漏えいの危険性の増大

 想定外の利用に対するセキュリティが考慮されていない、その対処のしようがないなどの理由から、本来(想定されている使い方)であれば保護されている情報であっても想定外の利用・接続などにより、情報が漏えいする可能性があります。

 想定外の機器と接続された場合、その機器が受信した情報を適切に処理するとは限らないため(また、仮に適切に暗号化などを行ったとしても)、このような想定外の機器を介して情報が漏えいすることも考えられます。

改ざんの危険性の増大

 想定外の利用によって発生する脆弱性へのセキュリティ対策がなされていない機器は、格納されている情報やプログラムを容易に書き換えられてしまう危険性があります。情報やプログラムを改ざんされることで、機器が正常に動作しなくなったり、場合によっては利用者に損害を加えたりといった可能性が出てきます。

 また、このような場合は想定外であるが故に、その対処に時間を要することも考えられ、より被害を拡大させてしまう可能性があります。

Copyright © ITmedia, Inc. All Rights Reserved.