サイバーセキュリティ月間

2021年3月12日(金) 

ハッカーに憧れて ~世界のセキュア化を加速させる~

NTTセキュアプラットフォーム研究所
研究員   中島   明日香

   

 
 
「パソコン一台で世界を救う」そんなハッカーに憧れて
 サイバーパンク小説『Project SEVEN』。これがすべての始まりだった。この小説は一言で言えば「女子高生ハッカーがサイバーテロリストから世界を救う」という話である。当時14歳の私が、初めてこの小説を読んだ時「パソコン1つで世界を転覆させることも救うこともできるんだ!」という驚きとともにハッカーという存在に強く憧れた。
 以来15年以上に渡りサイバーセキュリティ一筋で、今ではセキュリティ研究者として、サイバー攻撃を未然に防ぐような技術の研究に携わっている。具体的には、サイバー攻撃の根本的な原因の一つである「脆弱性(※1)」を、攻撃者より先に発見し、悪用される前に対策を促す、といったことをしている。
   特にここ数年は、世界に数百億台存在するとも言われているIoT機器(※2)に潜む脆弱性に対する攻撃が喫緊の問題の一つであるため、その解決にむけて、脆弱性の早期発見に取り組んでいる。

サプライチェーンから派生するIoT機器のセキュリティリスクの実態を明らかに
 最初に現在のIoT機器を取り巻く現状を説明する。IoT機器を含む多くの製品が、いわゆる「サプライチェーン」と呼ばれる高度分業化された製造・流通工程を経て、私達の手元に届いている。その中でも特にOEM製造(※3)を経たIoT機器においては、以下のようなセキュリティ上のリスクが存在している場合がある。
 背景として、OEM品を製造・供給する会社は、自社の原型となるIoT製品を基に、ロゴ等を張り替えただけで、中身は同じであるIoT機器(OEM品)を、他社(時には数十社)に卸す場合がある。この際、もし原型となる製品に脆弱性が存在した場合、OEM品にも同様の脆弱性が存在してしまう。そのような場合、原型製品とOEM品、両方の脆弱性が修正されるのが理想的である。しかし現実には、OEM品の脆弱性は放置されたままであることが一部専門家の間では問題として知られていた。OEM品が数十社以上から発売され、数万~数百万の利用者がいるような場合、そのようなOEM品は、サイバー攻撃の格好の的になってしまうことが危惧される。
 そのような問題認識のもと、ネットワークカメラを対象に調査した結果、なんと、約180種類以上もの未だ脆弱な可能性の高いOEM品候補が、市場で出回っていることが判明した。

世界のセキュア化を加速させる
 本調査の結果は、多くの海外メディアでも取り上げられ(※4)、色んな会社や開発者に現状の問題点を警鐘することで、脆弱性を攻撃者より先に発見し、悪用される前に対策を促すことに繋がった。
 「パソコン一台で世界を救う」とまでは言い過ぎだが、「パソコン一台で、今後起こる可能性のある、広い範囲でのサイバー攻撃を未然に防ぐための布石が打てた」とは言えるだろう。今後もこのような、社会の発展を陰で支える技術者/研究者として、世界のセキュア化を加速させる活動を、私は続けていきたい。
 
 
※1 簡単に言えばソフトウェアやハードウェアのセキュリティ上の弱点。より正確に言えば第三者が悪用可能なバグのこと。
※2 IoTはInternet of Things (モノのインターネット)の略。そしてIoT機器とは、簡単に言えばインターネットに接続されたモノ全般のことを指す。ここでいうモノとは、サーバだけでなく、テレビやネットワークカメラなどの家電や車、そしてセンサー類等を指す。
※3 OEM はOriginal Equipment Manufacturerの略。相手先ブランド名製造とも言われ、他社ブランドの製品を製造することやその会社を指す言葉である。
※4 Linux Magazine, 2019年12月5日,「Suchmaschine entdeckt Sicherheitslucken in Security-Kameras」, https://www.linux-magazin.de/news/suchmaschine-entdeckt-sicherheitsluecken-in-security-kameras/や、BANK INFO SECURITY, 2019年12月03日,「15 Hot Sessions at Black Hat Europe 2019」, https://www.bankinfosecurity.com/blogs/hot-sessions-at-black-hat-europe-2019-p-2826など。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。

 コラム一覧に戻る







 

 

 

  

 

 
NISC SNS一覧 
セキュリティ情報
Twitter
 活動情報
Twitter
Facebook

LINE
※ SNS運用ポリシーはこちら

 

 
NISCサイバーセキュリティ意識啓発動画ポータルへ 
ご注意 上記リンクをクリックすると別サイトに移動します。