自動車の守り方を考える「escar Asia 2014」レポート：セキュリティ業界、1440度（7）（2/2 ページ）

ナビシステムからのマルウェア注入もあり得る時代に自動車世界のセキュリティをどう実現するかを考える、アジア初開催の「escarカンファレンス」レポートです。

[株式会社FFRI，＠IT]

未知の脆弱性を発見する「ファジング」のノウハウを語る

FFRI取締役・最高技術責任者 金居良治（写真提供：日経Automotive Technology）

　2日目には、弊社の金居が、組み込み機器のセキュリティとファジングによる対策について講演しました。組み込みシステムは急速にネット化が進んでおり、PC環境で形成されてきたセキュリティに関するノウハウが生かされていないケースがあるという背景を説明しました。また、組み込みシステムへの攻撃例を紹介しました。

　脆弱性を発見する検査手法の1つであるファジングについても解説。ファジングの種類とそれによって発見できる脆弱性の種類、ファジング実施の流れと要点を、ファジングツールの開発と機器検査で得られたノウハウを交えて紹介しました。

　未知の脆弱性を発見する有効な手法であるファジングについて、より多くの人々に知っていただけたのではないかと思います。

【関連リンク】

FFRI、自動車の情報セキュリティに関するシンポジウム「escar Asia 2014」にて講演　〜組み込みシステムセキュリティの知見とノウハウを世界に発信〜

http://www.ffri.jp/news/release_20140414.htm

セキュリティのために自動車システムを“オープン”にすべきか？

　最後のセッションは、「セキュリティチップはどこまで必要なのか」というテーマでのパネルディスカッションでした。セキュリティチップの必要性や要点について、関係する発表を行った講演者の方々が議論しました。セキュリティチップは脅威分析を行った上で、既存のシステムへの統合のしやすさ、耐タンパー性やリアルタイム性、コストを含めた総合的な検討が必要という結論でした。

　幾つかの議論の中で特に印象深かったのは、現在の自動車のリコールの25％程度は「ソフトウェアに起因する」という話でした。将来的に自動車のICT活用が進んでいくと、この割合はさらに増加していくでしょう。そうすると、自動車のリコール対応方法も、インターネットを介したソフトウェアアップデートになるかもしれません。そのときに、セキュリティは非常に重要になります。

　自動車システムのオープン化に関する議論において、パネリストの方々は総じて、一部のコンポーネントを除いてオープン化する方がセキュリティは高くなるという考えでしたが、自動車メーカーの方から「オープン化のメリットはよく分からない、リスクが増加するのではないか」という意見もありました。この意見の違いも認識しておくべきポイントでしょう。

　自動車メーカーとセキュリティプロバイダーや研究者、それぞれの考え方があり、今後も継続した議論が必要であると感じました。

「セキュリティ業界、1440度」バックナンバー

• 初のiPhone個人Jailbreaker、ホッツ氏が語る「OSSによる自動車の自動運転化」――CODE BLUE 2017レポート
• 20年以上前のネットワーク規格が自動車や人命をセキュリティリスクにさらす
• 日本初の自動車セキュリティハッカソンも――「escar Asia 2016」レポート
• 「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム（SCIS2016）」レポート
• 著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート
• クルマのハッキング対策カンファレンス「escar Asia 2015」リポート
• 「CSS／MWS 2015」に向けた3000件のマルウエア解析から得られた発見とは？
• エンジニアよ、一次情報の発信者たれ――Black Hat Asia 2015リポート
• 自動車、ホームルーター、チケット発券機――脅威からどう守る？
• 高度なマルウェアを解析するには“触診”が一番？ 「PacSec 2014」リポート
• マルウェア捕獲後、フリーズドライに？「Black Hat Europe 2014」に参加してきた
• セキュリティ・キャンプ卒業後に何をしたいか、してほしいか
• 講師も悩む――セキュリティ・キャンプ「選考」のやり方
• Hide and seek――Citadelの解析から見る近年のマルウェア動向
• 自動車の守り方を考える「escar Asia 2014」レポート
• CODE BLUE――日本発のサイバーセキュリティカンファレンスの価値
• 自動車もサイバー攻撃の対象に？「Automotive World 2014」レポート
• 機械学習時代がやってくる――いいソフトウェアとマルウェアの違いは？
• 沖縄の地でセキュリティを学ぶ「セキュリティ・ミニキャンプ in 沖縄」レポート
• PacSec 2013 レポート 2日目〜Chromeの守り方、マルウェアの見つけ方
• PacSec 2013 レポート 1日目〜任意のコードをBIOSに

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。