リオス氏　最近では設計段階からセキュリティを考慮したデバイスの開発が行われている。新たに提供されている機器は脆弱性が修正されている一方で、既に現場で利用されている機器については、パッチを適用したりバージョンアップしたりする術がないのが現状だ。残念ながら、脆弱性が放置されたまま利用されている例も少なくない。しかも、脆弱性は制御ソフトやアプリケーション、ネットワークレイヤーなど複数に存在している。

バッツ氏　さらに言えば、医療業界の多くは「機器がインターネットに接続されている」とはどういう危険性があるのかを自覚していない。例えば、あるメーカーの機器は、通信機能と制御ソフトウェアの両方に脆弱性があり、（通信の）暗号化も徹底されていなかった。こうした運用管理の甘さは、患者を危険にさらす。ハッキングへの対策以前の問題だ。

MONOist　ハッカーがIoTデバイスをハッキングする目的は何か。

リオス氏　 ITシステムに対するサイバー攻撃の目的は、金銭や情報、知的財産の盗取といった「分かりやすい」ものが多い。銀行のアカウントを盗取する目的が、金銭盗取ということは明白だ。また、ハクティビストにように社会にインパクトを与え、自分たちの主張を世に出したいというケースもある。

　IoTデバイスの場合、その目的はさまざまだ。そもそもデバイスの種類によって、目的（ハッキングによってできること）は異なる。コネクテッドカーやスマート洗車機、医療機器といったデバイスへのハッキングは、特定個人にダメージを与えたり、誰でもよいから傷つけたりすることができる。また、社会的な混乱を引き起こしたいという悪質な快楽目的の愉快犯もいるだろう。

　セキュリティリサーチャーはデバイスの脆弱性を研究し、それが放置されればどのような事態に陥るかを示している。そして企業に対して対策を講じるよう情報を提供している。企業も脆弱性を隠すのではなく、指摘されれば速やかに修正する対応が必要だ。

関連キーワード

IoT | ハッキング | セキュリティ | 脆弱性 | コネクテッドカー | サイバー攻撃 | ハッカー

新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。
IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT（モノのインターネット）を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
つながるクルマに求められるサイバーセキュリティ
スパイ映画やSF映画には、自動車がハッキングを受けて乗っ取られるシーンが出てくることがある。つながるクルマ＝コネクテッドカーが当たり前になるこれからの時代、これらのシーンは絵空事では済まされない。本連載では、つながるクルマをサイバー攻撃から守る「車載セキュリティ」について解説する。
なぜ今、制御システムセキュリティがアツいのか？
なぜ今制御システムセキュリティが注目を集めているのか。元制御システム開発者で現在は制御システムセキュリティのエバンジェリスト（啓蒙することを使命とする人）である筆者が、制御システム技術者が知っておくべきセキュリティの基礎知識を分かりやすく紹介する。