ITのトレンドは、デスクトップからモバイル、さらにウェアラブルへと移行し始めている。またそれに伴い、ウェアラブル機器のセキュリティが喫緊の課題となっている。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。
少し前までは「モバイル」がIT界のトレンド・ワードだったのもつかの間、今や「ウェアラブル」に注目が集まっている。ウェアラブル機器とは、文字通り、「装着型のコンピューター機器またはデジタル・センサー」を意味する。
具体的には、時計型(アップル・ウォッチなど)やリストバンド型(FitBitなど)が商品化されており、話題では、メガネ型(グーグル・グラスなど)も登場している。ほかに、モジュラータイプのもの、衣類に組み込んだもの、イヤホンに組み込んだものなどの開発が進められている。
下の画像は、上着にクリップのように装着することにより紫外線量をリアルタイムで測定しBluetoothで情報をスマートフォンなどに伝送する機器のプロトタイプである。
さらには将来、体に埋め込むタイプのものも射程に入っており、その時点ではすでにウェアラブルではなく「インプラント」への移行ということになるだろう。
それはさておき、すでに2015年にはウェアラブル機器の市場は時計やリストバンド型が牽引し、2015年の第3四半期には2000万台以上が出荷される見込みである(Statista調べによる)。
多くの人にとってウェアラブル機器はIoT(Internet of Things)のほんの一部と見なされている。
しかし他のIoT技術と比べると、ウェアラブル機器はそれを身に着けている人のデータが利用されるが、一般的には個人が特定される情報(PII=Personally Identifiable Information)を大量に生成することになる。位置情報、歩行の距離、高度、体温、心拍数、その他運動や活動の記録など、多岐にわたる。
医療用の機器として利用されるとともに、健康促進のための民生機器としても利用される。2015年には世界中で7000万台が出荷されると予測されている。さらに2019年にはその2倍の1億5000万台を突破すると見込まれている(Statica調べによる)。
このように、市場が急激に広がると、必ずセキュリティの問題が浮上する。ハードウェアであれソフトウェアであれ、ウェアラブル機器に関係した仕事をしているのであれば、セキュリティリスクについては十分に考慮しなければならない。
個人を特定できる情報(PII)の漏えい
ウェアラブル機器を利用するユーザーの側、それらを製造・販売する企業の側、いずれにおいても言えることだが、セキュリティ上の最大のリスクは、ウェアラブル機器に関連する個人情報が不正な形で漏えいすることである。この問題にとって参考となる失敗の実例が、香港の知育玩具メーカーであるVTech社の対応である。
VTech社は長年にわたって、コンピューターを使った子供向けの知育玩具および関連アプリを販売してきた。初期からの人気製品には、ラップトップコンピューターのような形をした知育玩具があるが、その人気の秘密は、一度ハードを手に入れてしまえば、年齢や興味に応じてさまざまなモジュールを追加購入できることにあった。ユーザーとして登録された子供と保護者に関する情報が長期にわたってデータベースに蓄積されてきた。そこでさらにより購入機会を増やそうと、VTech社は専用サイトを構築した。その後、玩具が直接インターネット接続できるようになり、ポータルサイトを開き、追加ツールの購入(ダウンロード)や機器のアップグレードのほか、メッセージや画像の共有などのサービスも追加していった。
ところが、2015年11月にデータベースに不正侵入を受け、その結果、アプリストアに関連する640万件以上の子供たちのプロファイル情報が流出する。さらに、保護者のアカウント情報についても500万件、他の同社のWebサービスのアカウント(保護者約24万人、子供約23万人)も流出したのである。
VTech社は子供向けのスマートウォッチの発売に伴い、比較的最近ウェアラブル業界に参入したにすぎない。だが、いち早くこの業界がなし得る可能性のあるマーケティング要素を採用したのだった。不幸にもVTech社が顧客情報を集めるのに用いたシステムにはセキュリティ上の設計が不十分だったことが、後の研究によって明らかになっている。言い換えれば、PIIの多くは、最近発生したものではなく、非常に長い期間にわたって不正アクセスにさらされてきたのである。その結果、香港証券取引所で取引されているVTech社の株式は大きく暴落することとなった。
PIIの大規模な漏えいによって端を発したこの不祥事に対して、セキュリティの専門家が製品や関連ソフトウェアなどを全面的に調査することとなった。その結果、直ちに幾つかの脆弱性が見いだされた。例えば、機器の一部のチップが脆弱であったり、アプリで使われた暗号化があまり堅牢ではなかったりしていたのである。
セキュリティなしに本当の成功はない
ウェアラブル機器が切り開く市場はとても魅力的である。ちょっとしたアイデアで巨万の富を築くかもしれない。ハードウェアを組み立て、アプリを開発し、Webサービスを展開し、ユーザーの個人情報やトラフィック情報をうまく使えば、さらに利益を上げることができることだろう。
こうした事業を成功させるには、もちろん、仕事に対する情熱や労力、そして投資が不可欠であるが、それだけではまだ十分ではない。もしもセキュリティへの配慮が十分でなければ、そうした努力が全て足元から崩れる恐れがある、ということを忘れてはならないだろう。
ウェアラブルの世界を真剣に見ている人には二つの種類がある。一つは「悪玉」であり、一つは「善玉」である。
悪玉とはサイバー攻撃者のことである。彼らは常に自分たちのために技術を利用するばかりで、他の人たちは犠牲にしてもいいと常々考えている。世の中のために新製品を作ろうと努力するのではなく、他人のデータを盗み出すこと、売ること、誘拐(=暗号化)すること、そのためのツールを貸したり売ったりすること、それが彼らの本分である。
こうしたデータにまつわる犯罪の世界では、人々の情報こそが全てである。そしてウェアラブル機器やそれに関連する企業は、人々の情報が集まっている場所である。そのためデータ犯罪者たちは、端末とサーバーを標的とする。ウェアラブル機器の利点の多くは、その端末がサーバーとつながっているからである。すなわち、ウェアラブル・ビジネスは、サイバー犯罪者の格好の餌食なのだ。攻撃は、以下の図に示されるいずれの箇所であっても構わない。
ウェアラブル機器の攻撃ポイント
ウェアラブル現象を真剣に見ている善玉には、例えば米国では消費者保護団体であるFTC(連邦取引委員会)がいる。実は米国には包括的なデータ保護に関する法律がない。そこで消費者のデータ・プライバシーを守る役割がこの機関に期待されている。Webサイトは1990年代より商品販売などの商業的機能が実施され始めたが、FTCはそれぞれのWebサイトに対してプライバシーポリシーやWeb上の個人情報の適切な保護などを「要請」した。しかしこの要請には強制力がなく、その結果、プライバシーとセキュリティの低下が起こってしまったため、以後は、勧告、警告、さらには法執行措置の形をとるに至った。
現在FTCは、IoTに関するプライバシーとセキュリティに関するワークショップを開催しており、そのサブセクターにはウェアラブル機器も位置付けられている。関連企業はこうした動向に気付くべきである。FTCはまた、IoTやウェアラブル機器に関わる企業へのアドバイスも行っているし、さまざまな文書をオンライン上に用意もしている。つまりウェアラブル業界にとってFTCは、セキュリティ対策の基本が提示されている場所と見なすことができるだろう。すでにFTCは、2014年2月にTRENDnetの室内監視カメラ「SecurView」の脆弱性に対する文書を発行している。つまり、ウェアラブル機器の開発者は、最低限こうした文書のことを知っておかなければならない。また「IoTのセキュリティ構築」には、以下のような論点が含まれている。
- セキュリティの基礎
- すでにセキュリティについて学んでおいた場合の利点
- 製品における認証機能の意味
- 製品と他の機器やサービスとのインターフェイス保護
- 認証許可を制限する理由
- 利用可能なセキュリティ・ツールの利点
- 発売前に必ず行うべきセキュリティ検査事項
- 安全性を最優先したデフォルト設定の選択
- 製品を安全に使用するために何よりもユーザーに伝えるべきこと
- セキュリティのためのアップデートを確実に実施してもらうための手続きの確立
- 常に細心の注意を払う
- 情報提供の仕方への工夫
- 企業が消費者の情報に対してどのような配慮をしているのか、将来の顧客に知らせる
以上のことを要約すると、「悪玉」はウェアラブル機器企業によって生成され蓄積される個人情報を盗み出そうと虎視眈々と狙っている一方、「善玉」はプライバシー保護が十分ではないウェアラブル機器企業を必死に探し出そうとしているのである。