電球からインフラ制御システムまで、ありとあらゆる「モノ」がハッキングの対象に――米国セキュリティカンファレンスレポート:セキュリティ・アディッショナルタイム(12)(1/3 ページ)
2016年8月に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat Briefings」と「DEF CON 24」では、ありとあらゆるモノを対象に、脆弱性の存在と今後の改善の必要性を呼び掛けるセッションが繰り広げられた。
ありとあらゆるものがインターネットにつながり、さまざまに活用される「Internet of Things(IoT)」の世界。このトレンドはユーザーの生活をより豊かに、また便利にするものとして期待されているが、同時に懸念されるのがセキュリティ問題の深刻化だ。
2016年8月に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat Briefings」と「DEF CON 24」で繰り広げられた複数のセッションでは、思い付く限りのありとあらゆるモノ――自宅にある身近なモノから、重要インフラや生産現場を支えるモノに至るまで――がハッキングの対象として取り上げられ、今後の改善の必要性が呼び掛けられた。
Black Hat Briefingsの冒頭を飾った基調講演には、DNSキャッシュポイズニングの脆弱(ぜいじゃく)性に対する攻撃の成功確率を上げる「カミンスキーアタック」の発見者として知られるセキュリティ研究者、Dan Kaminsky氏が登場し、今セキュリティ研究者が抱える課題の1つとしてIoTのセキュリティがあると指摘した。同氏は「IoTは、登場当初からセキュリティの問題にさらされている初の技術だ」と述べ、利便性だけでなく、ユーザーの期待を損なわないようなセキュリティモデルをシステムデザインの中に組み入れていく必要があるとした。
さらに同氏は、約6000人もの参加者に向け、中央集権型のモデルではなく、自律分散型のインターネット上で健全なセキュリティを確保していくために、「保健分野における米国立衛生研究所(National Institutes of Health)のように、脆弱性を狙う攻撃手法とそれを保護する方法、セキュアなプログラミングについて研究し、情報を共有できる組織が必要だ」と呼び掛けた。
関連記事:カミンスキー氏が発表したDNSアタック手法と対策例
ランサムウェア感染を機に一層高まる医療機器セキュリティへの危機感
Black Hat Briefingsに合わせて開催されたイベント「Codenomicon」では、医療機器のセキュリティをテーマとしたパネルディスカッションが行われた。
医療の世界では、2016年に米国で発生した医療機器のランサムウェア感染事件が衝撃を持って受け止められた。医療機器は患者の生命を預かっている以上、その可用性が脅かされれば、人命に関わる深刻な問題となる。結局この病院は、やむを得ない判断として攻撃者に金銭を支払ったと報道されている。
ランサムウェア感染の一因が、医療機器に存在する脆弱性だ。既に医療の現場で用いられているさまざまな機器についても、ITシステム同様、さまざまな脆弱性が指摘されている。「問題は、こうした機器は日々の医療行為に欠かせないものであり、OSを走らせ続けなければいけない点にある。このため、脆弱性を修正するパッチが提供されても速やかな適用が困難だ」と、医療機器メーカー、BD(Becton, Dickinson and Company)のDirector of Product Security、Roberto Suarez氏は説明した。
加えて、多くの企業や官公庁同様、「予算」の問題も避けては通れない。医療機器はとりわけ高価であり、脆弱性が見つかったからといってそう簡単に入れ替えることはできない。いまだにWindows XPのようなサポートの終了したOSをベースとした機器を運用している環境もある。「それでも、予算の面があるために、完全に入れ替えるのはなかなか難しい」と、Philips HealthcareのGlobal Product Security and Services Officerを務めるMichael McNeil氏は実情を明かした。
一方で、業界全体として前進の兆しも見られる。Medical Device Innovation, Safety and Security Consortium(MDISS)のExecutive Director and Co-Founder、Dale Nordenberg氏は、「医療機器のセキュリティやセーフティについては、公衆衛生的なアプローチが必要だ」とし、「米保健省(Department of Health)や米国食品医薬品局(Food and Drug Administration、以下FDA)をはじめとする政府機関と協調し、何らかの“サイバー・サーベイランス・プログラム”を実現していくべきだ」と述べた。
また、Cyber Statecraft Initiative at the Atlantic CouncilのDirector、Joshua Corman氏は、2016年1月にFDAが立ち上げた脆弱性情報公開プログラムについて紹介した。FDAは医療機器のセキュリティ問題を重視しており、このプログラムでは、「脆弱性に関する情報をどのように収集し、どのように対応するか、そして収集した情報をどのように整理し、適切に公開するかを定めている。既にジョンソン&ジョンソンなどがこの取り組みの下、脆弱性情報を公開している」(Corman氏)という。その上で同氏は、セキュリティ研究者との連携を通じ、脆弱性情報に関する透明性を向上させていくべきだとした。
McNeil氏はさらに、「患者の生命を救うためにも、自組織だけでなく、エコシステム全体を見る視野が必要だ。重要インフラ分野と同様、政府による法規制といった事柄も含めて検討していく必要がある」とし、業界全体の取り組みが必要だと協調した。またWhiteScopeのSecurity Researcher and Founder、Billy Rios氏は、「ランサムウェアによる被害が拡大したことの一因に、パッチに関する情報共有が欠けていたことが挙げられる。業界全体で、脆弱性や脅威の兆候に関する情報を共有していくことが大切だ」と述べた。
さらに、Rios氏は、「脆弱性はどうしてもゼロにはならない。それを踏まえた上で、持続できるようなマネジメントを検討すべきだ。機器の製造段階のセキュリティだけでなく、ランサムウェアをはじめとする脅威がやってきたときに備え、運用段階でのセキュリティも必要だ」とも訴えた。
関連記事
カミンスキー氏が発表したDNSアタック手法と対策例
エンジニアよ、一次情報の発信者たれ――Black Hat Asia 2015リポート
成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たちCopyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。