IoTデバイスを“凶器”にしないモノづくりの心得とは：IoTセキュリティ インタビュー（3/3 ページ）

あらゆるモノがインターネットにつながるIoT時代を迎え、人々の生活は便利になる一方で、ハッキングされれば凶器と化すIoTデバイスはリスクにもなる。では、IoTデバイスを作る側はどのような点に留意すべきなのだろうか。セキュリティ専門家のビリー・リオス氏とジョナサン・バッツ氏に話を聞いた。

[鈴木恭子，MONOist]

ハッカーはなぜIoTデバイスをハッキングするのか

MONOist　医療機器の脆弱性について教えてほしい。あなたがたは、これまでも心臓ペースメーカーや投薬ポンプを制御するシステムの脆弱性を指摘してきたが、医療機器の安全性は改善されているのか。

リオス氏　最近では設計段階からセキュリティを考慮したデバイスの開発が行われている。新たに提供されている機器は脆弱性が修正されている一方で、既に現場で利用されている機器については、パッチを適用したりバージョンアップしたりする術がないのが現状だ。残念ながら、脆弱性が放置されたまま利用されている例も少なくない。しかも、脆弱性は制御ソフトやアプリケーション、ネットワークレイヤーなど複数に存在している。

バッツ氏　さらに言えば、医療業界の多くは「機器がインターネットに接続されている」とはどういう危険性があるのかを自覚していない。例えば、あるメーカーの機器は、通信機能と制御ソフトウェアの両方に脆弱性があり、（通信の）暗号化も徹底されていなかった。こうした運用管理の甘さは、患者を危険にさらす。ハッキングへの対策以前の問題だ。

MONOist　ハッカーがIoTデバイスをハッキングする目的は何か。

リオス氏　 ITシステムに対するサイバー攻撃の目的は、金銭や情報、知的財産の盗取といった「分かりやすい」ものが多い。銀行のアカウントを盗取する目的が、金銭盗取ということは明白だ。また、ハクティビストにように社会にインパクトを与え、自分たちの主張を世に出したいというケースもある。

　IoTデバイスの場合、その目的はさまざまだ。そもそもデバイスの種類によって、目的（ハッキングによってできること）は異なる。コネクテッドカーやスマート洗車機、医療機器といったデバイスへのハッキングは、特定個人にダメージを与えたり、誰でもよいから傷つけたりすることができる。また、社会的な混乱を引き起こしたいという悪質な快楽目的の愉快犯もいるだろう。

　セキュリティリサーチャーはデバイスの脆弱性を研究し、それが放置されればどのような事態に陥るかを示している。そして企業に対して対策を講じるよう情報を提供している。企業も脆弱性を隠すのではなく、指摘されれば速やかに修正する対応が必要だ。