IoT機器を狙ったサイバー攻撃の脅威が現実のものとなる中、世界各国でセキュリティ対策の整備が進んでいる。本連載では欧州当局が出すセキュリティ要件や規制動向に焦点を当て、国内製造業が意識すべきポイントを解説していく。
この10年間、身の回りで無線を使う家電機器が急激に増えた。声で操作のできるスマートスピーカーや、無線監視カメラ、インターネット放送を受信可能なスマートテレビなど、皆さんの家庭にも1つくらいはあるのではないだろうか。最近では電子レンジや洗濯機、冷蔵庫まで、無線でインターネットにつながる機種も目にするようになった。さまざまな家電がインターネットに接続され、新たな利便性を提供している。
その一方で、これらの家電に対するサイバーリスクも顕在化するようになった。残念なことに、市場に出回っているIoT(モノのインターネット)機器の大多数は、サイバーセキュリティ対策をしっかりしているとはいえない状況にあり、悪意のある攻撃に対して相当脆弱(ぜいじゃく)だと言わざるを得ない。このような状況では、洗濯機がハッキングされ、身代金を支払わないと洗濯ができなくなってしまう、という事件がいつ起きてもおかしくないだろう。
おとぎ話のようだと思われる方がいるかもしれないが、既にあるエンジニアが、インターネットにつながるコーヒーメーカーをハッキングし、身代金を要求するメッセージを表示することに成功した、という事例が報じられている。このコーヒーメーカーはスマートフォンアプリでコーヒーをいれられる優れものであった。そのためにWi-Fiに接続する必要があったのだが、機器が危険なWi-Fiアクセスポイントに接続されてしまうと、遠隔でファームウェアを書き換えることができてしまうという脆弱性があった。
その後ファームウェアを不正に書き換えられ、ハッキングされてしまったコーヒーメーカーは、ボタン操作をしなくてもいきなり熱湯を注ぎ始め、熱くなった保温プレートに熱湯が滴り落ちると同時に、「誤動作を止めたければ、身代金を支払え」というメッセージを液晶ディスプレイに表示するようになった。
このハッキングでは、機器に対しての物理的なアクセスやWi-Fiアクセスポイントに対してのアクセスが必要だったため、ただ無線に接続されているだけで、攻撃が実施できるというわけではないが、生活家電に対するハッキングが可能だということを実証した意味で、非常に興味深い事例である。
特に無線を使った機器はハッキングの被害にあう可能性が高い。というのも悪意のある攻撃者が、ハッキングを行うに当たっては、機器に対して物理的にケーブルなどをつながずとも、電波さえ届けば機器の置かれている敷地外からでも攻撃ができてしまうからだ。
欧州当局は、このような状況を放置することはできないと考え、欧州で電波を利用する機器に要求されるRED(Radio Equipment Directive、欧州無線機器指令)のサイバーセキュリティ要求を実行する方針を固めた。サイバーセキュリティ対策は2024年8月から必須となる。これまでのREDでは、大きく以下の要件に適合することが求められている。
無線機器は低電圧指令(Low Voltage Directive)が定義する安全要求を満足しなければならない(電圧の条件を適用しない)電磁波の人体暴露を含む。
無線機器はEMC指令が定義するEMC要求を満足しなければならない。
無線機器は有害な妨害を避けるために、周波数スペクトラムを効率的に使用し、また効率的な使用をサポートするように、設計、製造されなければならない。
上記に加えて以下の要求がこれまでも存在していたが、要求事項としては具体的な評価要求項目等は示されていなかった。
特定の機器に対しての要求。例として、充電器の共用、ネットワークの互換性、EU向けの無線インタフェース、エマージェンシーサービスへの接続、個人データとプライバシーの保護、ソフトの変更による適合継続の確保など。
EU委員会委任規則(EU) 2022/30は、Art. 3.3 (d) ネットワークの保護要求、Art. 3.3 (e) 個人情報の保護要求並びに Art. 3.3 (f) 詐欺対策要求の実行を2024年8月1日より開始すると決め、実質サイバーセキュリティ規制開始のカウントダウンが始まった。
一方でサイバーセキュリティのテストをするための整合規格がまだ発行されておらず、どのような試験で評価を行うべきかが関係各所で議論されている。REDの整合規格候補としては、欧州電気通信標準化機構(European Telecommunications Standards Institute、ETSI)が発行したEN 303 645というヨーロピアンスタンダードが利用されるという観測があった。そのため当社を含む第三者認証機関においても、EN 303 645という規格を基に準備をすることを推奨してきた。しかしこの内容では、不十分であるとの見解がREDのワーキンググループで提起されているのも事実で、今後のEU整合規格の採択状況を注視する必要がある。
前述のようにサイバーセキュリティの要求が2024年8月に始まるにもかかわらず、整合規格がないというのは、IoTを設計開発する方々にとって混乱をもたらすことになっている。当社にも数多くの問い合わせが寄せられている。当社の基本的な考えとしては、まずETSI EN 303 645をベンチマークとしたうえで、要求されている機能実装をすべきである、ということになる。
次回記事では、なぜETSI EN 303 645をベンチマークとすべきなのか、技術的観点から解説を行う。
⇒その他の「欧州のIoT機器セキュリティ対策最新動向」の記事はこちら
貝田 章太郎(かいだ しょうたろう)
テュフ ラインランド ジャパン株式会社サイバーセキュリティサービス 室長(APA地域統括)
早稲田大学政治経済学部 政治学科卒業。米国カリフォルニア大学、韓国 漢陽大学に留学。ITのサイバーセキュリティ技術動向に加え、業界別のサイバーセキュリティ法規制や、OT(制御技術)のサイバーセキュリティに詳しく、情報漏洩(ろうえい)対策(TISAX、GDPR、HIPAA)や自動車関連のサイバーセキュリティプロジェクトを数多く手掛ける。近年では産業用ロボット、医療機器などのサイバーセキュリティサービスを開発し、国内外の大手製造業に数多く採用されている。韓国での勤務経験があり、英語だけでなく韓国語も堪能。韓国系自動車OEMのサイバーセキュリティ事情も熟知している。
Copyright © ITmedia, Inc. All Rights Reserved.