セキュリティソリューションを提供するラピッドセブン・ジャパンは、5月16日、IoTハードウェアのセキュリティテスト向け新製品に関する記者発表会を開催した。オープンソースの侵入テストソリューション『Metasploit(メタスプロイト)』に、自動車などのハードウェアと直接リンクする新機能を搭載した。
記者発表会ではまず、米国本社の運輸関連セキュリティリサーチダイレクターで、『ザ・カーハッカーズ・ハンドブック』の著者でもあるクレイグ・スミス氏が登壇し、IoTデバイスや自動運転車のセキュリティについて説明した。
■脆弱なIoTデバイスの現状
「スマートフォンやウェアラブルデバイスなど、今や無数のデバイスがインターネットにつながっている。医療機器や輸送機器についても同様だ。こういったハードウェアには、様々な脆弱性がある。例えば、通信やストレージが暗号化されていないケースだ。IDやパスワードが暗号化されないまま記録されていることもある」
「例えば、Miraiボットネットは監視カメラなどに感染し、被害を拡大した。脆弱性が解消されないままインターネットに接続されている例だ。Miraiボットネットは今でもアクティブな状態で活動している」
「(同社の)オープンソースの攻撃フレームワークMetasploitは、Canバスのスキャニングが可能になった。IoTデバイスや自動車の診断、脆弱性チェックが可能だ。」
■自動車に関するリスク
「自動車に関するリスクは、まずV2X(Vehicle to Everything)がある。V2Xを使って外部から車をコントロールすることはリスクが高い。補完的な動作に限定すべきだ」
「自動運転車には、複数のセンサーがついているが、信用しすぎることはリスクだ。例えばGoogleの自動運転車は、クルマの目の前にある何らかの生体が、落ち葉なのか、子供なのか、動物なのかをクルマが判断できるか、複数の様々なタイプのセンサーを利用して判断している。個々のセンサーそのものは信頼しないというアプローチだ。このように、各センサー間で合意を取って判断していくことが望ましい」
続いて、ラピッドセブン・ジャパン執行役社長の牛込秀樹氏が登壇し、同社製品の特長を説明した。
「当社はリスクベースのアプローチをとっている。従来の防御型アプローチとは違う点だ。攻撃者の視点、経験を持っていることが強みであり、特に脆弱性、インシデントレスポンスにフォーカスしている。年間1000件以上のペネトレーション(侵入)テストや、国際的認証であるCREST認証を取得した。IoT分野では運輸、医療機器、家電、監視カメラで実績が多数ある」
「推定64億台のIoTデバイスがインターネットに接続しているが、IoTデバイスはこれまでネットにつながっていなかったので、ハッキングに対して脆弱だ。監視カメラ等のIoT機器をウイルスに感染させてDDoS攻撃を仕掛けた例もあった。」
「日本のデバイスベンダーは、侵入テストを避ける傾向があった。問題が露呈することを恐れる部分があったのでは。こういった市場に対して、欧米のベストプラクティスを提案していきたい」
最後に、クレイグ・スミス氏が質疑応答に応え、自動運転車が外部からハッキングされるリスクについて説明した。「可能性はゼロではないが、高くないと考える。むしろ盗難のほうが(犯罪者にとって)金銭的なメリットがあるからだ。また、クルマは事故を前提にしたつくりになっているので、事故を起こさせるという方法は合理的ではない。映画では見栄えがするだろうが」
