図1 組み込み機器を取り巻くセキュリティの現状<BR>200X年とあるのは,将来起こり得る可能性の高い問題。
図1 組み込み機器を取り巻くセキュリティの現状<BR>200X年とあるのは,将来起こり得る可能性の高い問題。
[画像のクリックで拡大表示]
図2 セキュリティに関するパソコンの現状
図2 セキュリティに関するパソコンの現状
[画像のクリックで拡大表示]

 「組み込み機器のセキュリティ問題が人命にかかわる事件を引き起こすかもしれない」(ソニーデジタルネットワークアプリケーションズのTechnology Track Advanced Process Initiative 松並勝 セキュリティテクノロジスト)。

 冒頭の物語は,数年後を想定した架空のものだが,現実にはもっと恐ろしいことが起こるかもしれない。例えば,冬の北海道における空調の不正操作。暖房がつかなければ,凍死する人が出かねない。またプリンタはトナー転写用にヒーターを持っている。これが過度に加熱し続けられると,火事を引き起こす危険がある。

 人命にかかわるような事件は起きてはいないが,家電を狙ったいくつかの脅威はすでに発生している(図1[拡大表示])。例えば,携帯電話向けのウイルス対策ソフトベンダーであるニュージーランドSimWorks International社は2005年4月,Symbian OS搭載携帯電話向けのウイルスを52種発見したと発表した。その多くがゲームを装ったトロイの木馬で,インストールするとBluetoothを通じた感染活動やシステムのダウンなどを引き起こす*1

 このほか,2004年9月に東芝製のDVD/ハードディスク・レコーダーが踏み台に使われるという事件が発覚した。このレコーダーはHTTPプロキシ機能を内蔵しており,パスワードを設定せずにインターネットに公開すると,第3者がこの機能を不正に利用して他のサイトを攻撃できた。このプロキシ機能を悪用したブログへのコメントスパム攻撃(広告に誘導するコメントなどを大量に入れる攻撃)が発生したのだ。

 このほかBlasterなどのインターネット・ワームが猛威を振るった2003年に,北米でWindowsベースのATM(自動現金預け払い機)やPOS端末がワームに感染するといった事件が発生している。

 今後,デジタルテレビやオーディオ機器,カー・ナビゲーション・システム,IP電話/Wi-Fiフォンなど,ネットワークにつながる組み込み機器はどんどん増えていく。それにつれて危険性が高まるのは間違いない。

組み込みの世界はWin95時代

 「組み込み機器を巡るセキュリティの状況は10年前のパソコンに似ている」—。多くのセキュリティ技術者がこのように語る。

 現状を見ると,組み込み機器は携帯電話を除き,ほとんどはネットワークとつながっていないか,つながっていてもそれほど密に連携していない。しかし,今後は機器ベンダーが機器の付加価値向上や新たな収益源を求めてインターネットとの融合を進めるはず。

 「パソコンと同じ道をたどると考えるのが自然」(インターナショナル・ネットワーク・セキュリティの 勝野秀樹 シニアコンサルタント)だ。

Windows 95の登場でパソコンが爆発的な普及を開始した1995年当時,パソコンがネットワークにつながることは当たり前ではなかった。つながるにせよダイヤルアップが基本であり,常時接続はまれだった。このため,パソコンのセキュリティは大きな問題ではなく,それほど関心は払われなかった。

 インターネットのセキュリティに関して一部の技術者が警告を発していたが,多くの人の耳には届かなかった。インターネット・セキュリティといえば,サーバーのことを指していた。

 ところが今はどうだろう(図2[拡大表示])。サーバーのセキュリティは重要な問題であり続けているが,パソコンのセキュリティが大きくクローズアップされている。コンピュータ専門誌のみならず,新聞やテレビでもほとんど毎日のように,セキュリティに関するニュースが報道される。しかも,悪化するばかりで事態が改善する見込みは薄い。

 もはやウイルス対策ソフトなしにインターネットにアクセスするのは危険だ(別掲記事「パソコンが危険な四つの理由」を参照)。毎日のようにウイルス付きのメールは届くし,大量のスパムメールも押し寄せる。最近では,日本の銀行を偽装したフィッシング・メールも登場している。これらの多くはボットに感染した普通のパソコンから送られてくる。ウイルスの感染によって引き起こされた情報漏えい事件も,これまで数え切れないほど報じられてきた。

 同じことが組み込み機器に起こらない保証はどこにもない。


パソコンが危険な四つの理由

 パソコンが今のような状況になった背景には,大きく四つの要因がある。一つ目がパソコンが広く一般に浸透したこと。次にWindowsとx86系マイクロプロセッサによる市場の寡占化。三つ目がネットワークへの常時接続が浸透したこと。最後が電子商取引の一般化である。

 最初の二つは,ウイルスの作者がWindowsを想定して攻撃プログラムを作成できることを意味する。Windows用に作れば世界中のパソコンを攻撃したり,感染の目標にできるからだ。実際,MacintoshやLinuxを狙うウイルスはほとんど存在しない。

 ネットワークの常時接続によって,踏み台にできるマシンの数が飛躍的に増した。ボットに感染したマシンがスパムメールやフィッシング・メールの発信元,フィッシング用のWebサイトになっているケースも多い。犯罪者は見ず知らずの人のパソコンを隠れ蓑にしている。

 電子商取引の発展は,犯罪者をインターネットに引き付けた。パソコンを狙えば自らを危険にさらすことなく稼げることが明らかになったのだ。「かつてコンピュータ・セキュリティ事件の背後には自分の能力を誇示したい輩がいた。ところが今日の多くの事件は金銭目的のプロの犯罪者によって行われており,手口がより組織的で巧妙になった」(ラック セキュリティプランニング担当部長の新井悠氏)。