IoTデバイスを“凶器”にしないモノづくりの心得とはIoTセキュリティ インタビュー(1/3 ページ)

あらゆるモノがインターネットにつながるIoT時代を迎え、人々の生活は便利になる一方で、ハッキングされれば凶器と化すIoTデバイスはリスクにもなる。では、IoTデバイスを作る側はどのような点に留意すべきなのだろうか。セキュリティ専門家のビリー・リオス氏とジョナサン・バッツ氏に話を聞いた。

» 2017年09月04日 10時00分 公開
[鈴木恭子MONOist]

 冷蔵庫やベビーモニター、家の照明に至るまで、あらゆるモノがインターネットにつながるIoT(モノのインターネット)時代。人々の生活は便利になる反面、ハッキングされればIoTデバイスは凶器と化す。では、IoTデバイスを作る側はどのような点に留意すべきなのだろうか。世界最大のセキュリティイベントである「Black Hat USA 2017」や「codenomi-con USA 2017」で、IoTのリスクと対策の必要性を訴えたセキュリティ専門家のビリー・リオス(Billy Rios)氏とジョナサン・バッツ(Jonathan Butts)氏に話を聞いた。

ビリー・リオス氏(右端)とジョナサン・バッツ氏(中央) ビリー・リオス氏(右端)とジョナサン・バッツ氏(中央)。両氏は2017年7月25日に開催された「codenomi-con USA 2017」(主催:米シノプシス)にも登壇。自動車のセキュリティリサーチャーであるチャーリー・ミラー(Charlie Miller)氏らとともに、IoTデバイス開発者がセキュリティマインドを持つことの重要性を訴えた

MONOist 「セーフティ」と「セキュリティ」に対する取り組み方について教えてほしい。製造業の場合、製品の安全性(セーフティ)確保には努めているが、製品のセキュリティ機能を強化する取り組みは進んでいない現状がある。製品のセキュリティを強化するためには、何が必要だと考えるか。

リオス氏 セーフティとは、ユーザーが製品を安心して利用できるよう、設計/開発段階から安全性を阻害する要因を排除していくことで実現する。一方、製品のセキュリティ強化は、脆弱性となりうる部分を排除することで実現する。インターネットに接続する全てのデバイスは、セーフティとセキュリティの両面を満たしていなければならない。

 脆弱性をゼロにすることは不可能であっても、それを実現しようとする取り組みは必要だ。例えばわれわれはBlack Hat USA 2017において、スマート洗車機がハッキングできるデモを披露した(関連資料)。

 このデモは、米国のPDQ Manufacturingが販売している「LaserWash 360」をハッキングし、管理システムの不備を指摘したものだ。LaserWash 360は、オーナーがインターネット経由で洗車機の稼働状況を確認できる。遠隔地からでも動作確認したり、異常作動のアラートを受けたりできるが、インターネットに接続されていれば、洗車機であってもハッキングの危険性があるということだ。つまり、町の至る所にあるスマート洗車機が、ハッキングによって誤作動をする可能性がある。物理的に安全に作られたマシンであっても、これではセーフティとはいえない。

「LaserWash 360」のWebサイト 「LaserWash 360」のWebサイト(クリックでWebサイトへ)

バッツ氏 IoTデバイスやスマート工場など、つながる世界の「安全性」を実現するには、「機器自体の安全性」と「制御するソフトウェアの安全性」が求められる。例えば、スマート洗車機のアーム部分やシャッター開閉部分を、物理的に改造することは難しい。しかし、それらをつかさどる制御システムのソフトウェアを改ざんすることは、(脆弱性があれば)簡単だ。つまり、スマート洗車機が(物理的には)安全に設計されていても、制御するソフトに脆弱性があれば「危険な大型デバイス」になる。

 機器/デバイスの開発者は、ハッキングの可能性を想定し、「ハッキングされたら何ができてしまうのか」までを理解し、セーフティメカニズムを実装しなければならない。

スマート洗車機「LaserWash 360」のハッキングデモ

 LaserWash 360の制御システムは、既知の脆弱性がある「Windows CE」の旧バージョンだった。リオス氏とバッツ氏は、この脆弱性を利用し、遠隔操作が可能な実行コードをインターネット経由で送り込み、ハッキングに成功した。典型的な手口だが、これで制御システムの乗っ取りは完了。後はやりたい放題だ。例えば、自動車が洗車エリアに入った段階で出入り口のシャッターを閉じたり、自動車の形状に合わせて移動する洗浄アームの設定を変更してアームを車体にぶつけたりできる。

「Black Hat USA 2017」でスマート洗車機のハッキングデモを披露 リオス氏とバッツ氏は「Black Hat USA 2017」で、「When IoT Attacks: Understanding the Safety Risks Associated with Connected Devices(コネクテッドデバイスの安全性リスクを理解する)」と題したセッションに登壇。スマート洗車機のハッキングデモを披露した
       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.