金銭がからめばターゲットになる
最後の「わざわざ組み込み機器を狙わない」というのはそうかもしれない。確かに脆弱なパソコンが世の中にたくさんあるから。下がったとはいえ,攻撃の敷居が高い組み込み機器を狙うより,パソコンをターゲットにしたほうが断然効率がよい。
しかし,「組み込み機器への攻撃がお金になると分かった瞬間,一気に攻撃をかけてくる可能性がある」(ラック セキュリティプランニング担当部長の新井悠氏)。今後,テレビや携帯電話,携帯音楽プレーヤーを介した電子商取引は普及期を迎える。そのとき,クレジットカード番号やIDがこれらの機器に入っているだろう。これらを簡単に盗めるなら,攻撃してくるかもしれない。
コスト低減が危険度を高める
組み込み機器のセキュリティはパソコンよりも深刻になる危険性もはらんでいる(図5[拡大表示])。
まず,機器の単価が安いこと。パソコンのソフトウェア開発よりも時間やコストをかけづらい。コストがかけられない場合,どうしてもセキュリティは二の次になる。「そもそもセキュリティの観点で考えられる開発者は少ないし,開発時間が短いためセキュリティのレビューをしている余裕がない」(ある組み込みソフトウェア技術者)。
また,「組み込みソフトウェアを受託開発をしている会社ではセキュリティ上問題がありそうだと思っても,やぶ蛇になるため,報告しない場合が少なくない」(セントラル・コンピュータ・サービス アウトソーシング事業本部ネットワークサービス部の長谷川 武シニアセキュリティスペシャリスト)。報告しようものなら,セキュリティ検査を無償でやれと言われかねない。
また,コストがきついということは,セキュリティ・パッチの継続的な提供が望み薄という事態につながる*2。何か事件が起こったときに,対応が遅れるといった危険性は十分にある。コストを削るため,ソフトウェアのアップデートができない製品も多い。ファームウェアがフラッシュではなくマスクROMに書き込まれているためだ。
もちろん消費者がセキュリティ対策に価値を見出してくれれば問題はない。しかし,「同じ機能の製品をセキュリティ対策が万全というだけで,販売価格を高く設定できない」(富士ソフトABCシステム事業本部三本幸司副本部長)のが現状である。
ユビキタス化が問題を深刻にする
ユーザーの裾野が幅広いのも弱点になる。例えば,セキュリティ上危険な設定や操作を知らずに行ってしまうかもしれないし,セキュリティ上の脆弱性が見つかった場合に全ユーザーに対策をお願いするのは至難の技である。
世帯ごとに大量の組み込み機器があることも問題になりそうだ。例えば,ネットワーク・プロトコルなど幅広い機器に共通する脆弱性が見つかったときに,すべての機器に対策を施すのは難しい。
加えて,組み込み機器の種類によっては,ウイルスやボットに感染してもパソコンよりも気づきにくい可能性が高い。まず,ウイルス対策ソフトが搭載されていないこと。また,パソコンや携帯電話のようにユーザーが対話的に使うものでないと,感染したかどうかを見分けにくい。例えば,FAX/電話やプリンタ,冷蔵庫のようなものだと,気づかずにずっとボットが潜伏しつづけることにもなりかねない。
パソコンを反面教師に
組み込み機器のセキュリティに救いがあるとすれば,すでにパソコンでセキュリティ問題が起きており,これを参考にできるということだ。今はまだ多くの組み込み機器がネットワーク化していないことを考えれば,対策を立てる時間はある。逆に,今対策しておかないと「後の祭り」になりかねない。
