「組み込みシステムは、攻撃者にとって格好のターゲット。情報家電(ネットワーク接続機能を持つ家電)も例外ではない」。情報処理推進機構(IPA)研究員の鵜飼裕司氏は2011年2月24日、IPAが開催したシンポジウムにおいて、情報家電のセキュリティについて解説した。
2010年から、政府では2月を「情報セキュリティ月間」と定め、情報セキュリティに関する普及啓発活動を、官民連携で集中的に実施している。その活動の一環としてIPAでは、「情報家電」「自動車」「中小企業におけるクラウド」「重要インフラ」の4分野におけるセキュリティ動向を解説するシンポジウムを、2月24日と25日の2日にわたって開催している。
鵜飼氏は情報家電のセキュリティに関するシンポジウムに登壇。情報家電を含めた組み込みシステムのセキュリティ動向を説明した。ここでの組み込みシステムとは、特定の機能を実現するために、機器に組み込まれるコンピューターシステムのこと。パソコンなどの汎用的なシステムは含まれない。例えば、ルーターなどのネットワーク機器や、ネットワーク接続機能を持つ家電(情報家電)やゲーム機などが該当する。
鵜飼氏によれば、組み込みシステムの脆弱性や、それを狙った攻撃に関する報告が急増しているという。「組み込みシステムが広く使われるようになっているにもかかわらず、古典的な脆弱性を持つ組み込み機器が多数存在するためだ」(鵜飼氏)。
WindowsやUNIXなどのシステムにおいては、今まで散々攻撃されたために対策が進んでいる。一方、組み込みシステムにおいては、「痛い目に遭っていない」(鵜飼氏)ため、対策がほとんど進んでいない。「アンダーグラウンドにとって、組み込みシステムは次のターゲット」(同氏)。
組み込みシステムは、基本設計や仕様を公開していないことがほとんど。このためWindowsなどと比べると、脆弱性を見つけるのが難しいように思える。だが、それは誤解だという。「耐タンパー性(内部の情報を読み取られることに対する耐性)を考慮していないシステムなら、汎用的なツールで容易に解析できる」(鵜飼氏)。組み込みシステムでも、脆弱性の本質や解析方法はパソコンと同じであり、脆弱性がある場合には同様の攻撃が可能だという。
実際、さまざまな組み込みシステムに、致命的な脆弱性が見つかっている。例えば2006年、セキュリティに関するイベント「Black Hat Europe 2006」において、ある個人向けブロードバンドルーターに脆弱性が公表された。悪用されると、ルーターを乗っ取られてしまう。
また、2010年の「Black Hat」では、あるATM(現金自動預け払い機)の脆弱性を悪用し、不正に現金を引き出すことが可能であることを示すデモが行われた。
2008年には、インターネット対応のコーヒーメーカーにも脆弱性が見つかり、セキュリティ関連のメーリングリストに投稿されている。このコーヒーメーカーには、ネットワーク経由でコーヒーの濃さや量、いれる時刻などを設定できる機能がある。その機能に脆弱性があったため、攻撃者に自由に操作される危険性があった。「例えば、薄いコーヒーが好みなのに、毎回濃いコーヒーを飲まされる恐れがある」(鵜飼氏)。
対策としては、組み込み機器の品質管理プロセスに、セキュリティ検査を導入することが重要だという。「基本的な検査だけでも効果は大きい。脆弱性をゼロにできなくても、数を少なくして脆弱性攻撃のハードルを上げておけば、攻撃者があきらめる可能性が高い」(鵜飼氏)。
