1.新たなボーダレス時代が到来し、サイバーフィジカルセキュリティが進化する(その2)
新たなボーダレス時代の到来を感じさせる少し極端な事例を元に、どのようなものがネットワークにつながっているのかを紹介します。
サイバーセキュリティトレンド
- 2016年02月26日公開
1.新たなボーダレス時代が到来し、サイバーフィジカルセキュリティが進化する(その2)
はじめに
前回のコラムでは、新たなボーダレス時代の到来とインターネットに接続された機器の把握方法の一例としてCensysを紹介しました。そのときには、カメラを例にインターネットに接続された機器の説明をしていますが、インターネットにつながっているのはそれだけではありません。
私が子供の頃には、ネットワーク(サイバー空間)に繋がっているものといえば携帯電話とパソコンだけでした。それが今では、スマートフォンでエアコンを点けられ、外出先からテレビの録画予約ができ、冷蔵庫や洗濯機までもがインターネットにつながる時代です。今後もこのボーダレスの流れは加速してさらに様々なものがつながっていき、フィジカルとサイバーの境界がなくなっていくことが予想されます。
そして、このような新しい時代では、昔の常識では考えられないような事態が発生します。「サイバーセキュリティトレンド2016」では自動車を無線で遠隔操作する実験の例が紹介されていますが、10年前に誰が遠隔操作される自動車を予想できたでしょうか。
こうした時代を迎え、サイバーとフィジカルのボーダレス社会と上手く付き合っていくために大切なことは、現状の正しい理解です。本コラムでは、新たなボーダレス時代の到来を感じさせる少し極端な事例を元に、どのようなものがネットワークにつながっているのかを紹介します。
新たなボーダレス時代の到来を感じさせる事例
(1) ドローン
最近よく耳にするドローンの事例について紹介します。
まず、ドローンと聞いてラジコン飛行機のようなものを思い浮かべた方は多いと思います。ラジコン飛行機もドローンの一種ですが、ドローンは広義的には無人航空機のことを指します*1。そのため、無線操縦だけでなく衛星回線での制御やGPSによる完全自律の大型無人航空機もドローンになります。今回事例として紹介するのは、後者のドローンです。
ここで紹介する事例は「NASAにハッキングをしかけ、内部情報を掌握し高高度調査用のドローンをハイジャックした。」とハッカーグループが発表したという記事です。(http://news.biglobe.ne.jp/trend/0210/toc_160210_7926825443.html)
NASAはこれを否定しているということですが、新たなボーダレス時代ではこういった事態が発生する可能性もあるという意味も込めて紹介いたします。 この記事によると、ハイジャックされたドローンは飛行ルートを変更され、海に墜落しそうになったが、オペレータにより手動操作に切り替えられ最悪の事態は免れたということです。以下はNASAでも利用されているドローンの参考画像*2。
もし、本当にこのドローンがハイジャックされたとしたら、どんな事態が発生するのかは画像のドローンの大きさを見ていただければ想像が付くと思います。
また、このドローンではありませんが、ミサイルで武装した軍事用ドローンというのも存在し悪用された場合には多くの人命に関わる事態になりかねません。
(2)医療機器
次は身近な医療機器についてです。
医療業界にも新たなボーダレス時代の流れは来ていて、カルテや血圧計、インスリンポンプなど様々なものがネットワークにつながるようになっています。ネットワークにつながることにより効率性や利便性は向上していますが、病歴などの情報を持つ機器や命に関わる機器がネットワークにつながっていると考えるとあまりよい気分ではないかもしれません。
ここで紹介する事例は、Hospira社製の薬剤注入ポンプに重大な脆弱性が見つかったという記事です。(https://blog.kaspersky.co.jp/drug-pump-security-bugs/7581/)
この脆弱性は簡単に言えば薬剤注入ポンプを乗っ取ることができるものです。記事によると薬剤注入ポンプを停止させたり、注入する薬剤の量を変えたり、薬剤の情報を書き換えたりすることができるということです。実際に攻撃された事例ではありませんが、言うまでも無く人命に関わる脆弱性です。
(3)ライフル
最後は日本人には馴染みのないライフルについてです。
何でライフルがネットワークにつながっているのかという話しですが、このライフルはWi-Fi経由でスマートフォンと連携することでライフルスコープの映像を他の人にも見せることができます*3。この他にもLinuxが搭載されていて操作ミスの修正やターゲットの自動追跡をすることができるということです。
ここで紹介する事例は、ハッカーイベントの「BlackHat」にて発表された上記のLinux搭載ライフルにハッキング可能な脆弱性が発覚したという記事です。(http://gigazine.net/news/20150818-hacking-linux-powered-rifle/)
記事によると、この脆弱性を使えば狙っていたターゲットを別のものに置き換えることが可能だということです。Wi-Fiの届く範囲に攻撃者がいる必要があり、かつ遠隔からの発砲はできないということですが、それでもやはり人命に関わる脆弱性です。
以上、新たなボーダレス時代では様々なものがネットワークにつながり、サイバーフィジカルセキュリティが必要となってくるということをわかっていただけたでしょうか。
極端な事例ばかりを紹介したので、新たなボーダレス時代なんてロクなものではないと考える方もいるかもしれません。しかし、新たなボーダレス時代の到来は私たちに大きな恩恵も与えてくれます。そもそも意味も無くネットワークにつなげることはなく、そこには利便性や効率性の向上、新たな技術の活用といった目的があります。今回の事例で言えば、ドローンは人間を乗せられないような場所の飛行をするため、薬剤注入ポンプは人的なミスを無くすため、ライフルは命中精度を上げるためなどです。
大切なのは「便利だから使う」「危険だから使わない」ではなく、リターンとリスクを知った上でリスクを許容できるのであれば使うという判断をすることです。そして、リスクが許容できないのであればリスク低減のための対策をすることも必要です。
脆弱性の中には、特定の条件下でしか攻撃できないものやユーザの設定によって回避できるものもあります。そういった情報を知り、利用方法を制限したり、脆弱性を回避する設定にしたりすることでリスクを低減することができます。
今後、新たなボーダレス時代を迎えるにあたり「何がネットワークにつながっているのか」と「それがどのようなリスクを持っているか」そして「そのリスクを低減させる対策」のそれぞれの情報を迅速かつ正確に把握し、それをリスク管理に適用できるような仕組み・体制が必要になってくるといえるでしょう。
すなわち、現状を正しく理解し新しい時代に対応していくための仕組み・体制が必要となってくるということです。
おわりに
今回は、新たなボーダレス時代の到来を感じさせる事例を紹介しました。
次回は、標的型攻撃とサプライチェーンでの対策がテーマとなります。
NTTソフトウェア株式会社
クラウド&セキュリティ事業部
セキュリティ事業ユニット