|
「Security Tech」は,米eEye Digital SecurityのSenior Software Engineerである鵜飼裕司氏による技術コラムです。鵜飼氏はMicrosoft製品のセキュリティ脆弱性(セキュリティ・ホール)を多数発見していることでも知られるセキュリティの専門家です。
本コラムでは,あるテーマについて数回にわたって技術解説記事を執筆していただきます。1回目のテーマは,「組み込みシステムのセキュリティ」。全8回にわたって,組み込みシステムにおけるセキュリティ脆弱性の脅威の実際と,開発サイドに求められる組み込み機器独特の防衛策について解説していただきます。 なお,鵜飼氏には「ITpro Watcher」も執筆していただいております。こちらのほうも,併せてお読みいただければ幸いです。(編集部より) |
近年,インターネットやワイヤレス・ネットワークは広く普及し,それに伴ってインターネット対応機器も急速に普及しつつあります。この状況を見て,「インターネット対応機器のセキュリティは大丈夫なのか?」という疑問を持っている方は,IT業界以外の方以外でも,少なくないと思います。
今までセキュリティの専門家の間で議論されていた脆弱性は,WindowsやUNIXなど,オープンなプラットフォームに限定されていました。理由としては,攻撃が発生した場合の影響が大きいということが挙げられます。しかし近年,インターネット対応機器の普及に伴い,クローズドなプラットフォームを採用することが多い組み込みシステムのセキュリティについても,真剣に議論すべきという流れが本格化してきました。
“クローズド・プラットフォーム”の組み込みシステムといえども,ハードウエアやソフトウエアの基本的な構造は,オープン・プラットフォームのそれとさほど大差ありません。ということは,当然ながらWindowsやUNIXのシステムと同じようなセキュリティ脆弱性を作り込む可能性があり,理論的には同様の被害が発生する可能性があるといえます。
例えば最近,Windowsの画像処理エンジンに見つかった脆弱性が話題になりました。これは,攻撃者が用意した画像ファイルを閲覧すると,画像ファイル中に仕込まれた悪意のあるコードがシステム上で動作してしまうというものです。このような種類の脆弱性は,画像ファイルを扱うデジタル・カメラや携帯電話などでも同様に作り込んでしまう可能性があります。
とはいえ,組み込みシステムに対する攻撃は今のところあまり活発ではなく,脅威があまり表面化していません。さらに,組み込みシステムにおけるセキュリティ脆弱性の脅威が正確には分析されていないため,実際にどの程度危険なのかが明確ではないのが現状です。
このためか,組み込み業界ではセキュリティに対する関心が低いと言わざるを得ません。実際,オープン・プラットフォームでは“古典”とも言えるセキュリティ脆弱性を,多くの組み込み機器で確認することができます。
そこで本稿では,組み込みシステムにおけるセキュリティ脆弱性の脅威の実際と,開発サイドに求められる組み込み機器独特の防衛策について解説していきたいと思います。(第2回へ続く)
