ジャックウェア――コネクテッド・カーがランサムウェアと出会う時

この記事をシェア

未来型自動車「コネクテッド・カー」に今、注目が集まっている。インターネットを利用して情報やサービスが得られ、装備されている各種センサーによって車の各情報を収集し役立てようとするものである一方で、気になるのはセキュリティが万全かどうかである。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

ジャックウェア――コネクテッド・カーがランサムウェアと出会う時

このままいくと、2016年は「ランサムウェアの年」と言われるようになるだろう。すでにスティーヴン・コッブ(Stephen Cobb、ESETシニアセキュリティ研究者)は、担当する「2016年上半期 脅威レビュー」においてランサムウェアを大きく取り上げている。しかし一方では、IoT、より詳細には「IoIT」(Internet of Insecure Things、モノの安全ではないインターネット)にも注意を向ける必要がある。その理由は、特にIoITに関わるリスクの上昇が明らかになっているからである。ただし誤解しないでもらいたいのは、IoITが現在ランサムウェアと同様の危険度を持っているわけではない、ということである。今後の見通しについて先取りして考えてみれば、将来、ニュースのトップ記事に「ジャックウェア(jackware)の年」との文言が躍るのではないかという懸念もあり得るだろう。

ジャックウェアとは何か?

ここではジャックウェアを、デバイスの制御を乗っ取ろうとする有害なソフトウェア、と定義しておこう。第一の目的がデータ処理やデジタル通信ではないデバイス……自動車は、そうしたデバイスの一つと言えるだろう。車の本来の目的は、A地点からB地点へと人を移動させることだ。したがってジャックウェアは、特定の分野に特化されたランサムウェアと言えるかもしれない。「ロッキー」(Locky)クリプトロッカー」(CryptLocker)といった通常のランサムウェアと同じように、コンピューター上の文書を暗号化して身代金を要求するが、ジャックウェアの目的は、自動車や他のデバイスを身代金が支払われるまで使えない状態にしてしまうことにあるからだ。

幸運なことに、ジャックウェアは今のところ、まだ理論上の産物であって実際の活動を行っているわけではない。

不運にも、過去の経緯からすると、今ジャックウェアが開発され実装されつつあるのを止めることは誰にもできない。自動車メーカーは毎年100万台以上の自動車を出荷しているが、これらには脆弱性があり、ジャックウェアに悪用されてしまいかねない。また昨年のニュースで明らかになったように、フィアットクライスラー(FCA)社のジープ問題はすでによく知られている。こうした脆弱性と同等に深刻であるのは、自動車の脆弱性にパッチを当てるプロセスが設計段階にないことだ。言い換えれば、セキュリティホールが見つかるのはいつも出荷した後になっているのである。実際、これは本当に避けがたい。しかし、パッチ適用されていないデジタル製品を出荷するのは、大変危険なことである。

そして、自動車のクラッキングの研究と議論が技術的な問題に集中している一方で、多くのデジタル機器、IoT関連機器は、それよりもサポートシステムに依存していることが重要である。これについてはすでに昨年、IoCT(幼児向けのモノのインターネット)業界で活躍する香港の知育玩具メーカーであるVTech社を取り上げている。Webの企業サイトの脆弱なセキュリティは、子供たちの情報を深刻に暴露させてしまいかねず、IoTにどれだけの攻撃が行われているのか、ウェアラブル機器やリストバンド機器(例:FitBit)を思い起こすべきである。

だが、本当のところ自動車にはどのくらいの影響を及ぼすのであろうか。BMWの「コネクテッド・ドライブ」(*1)についてのオンラインサービスWebアプリにおけるバグについてのニュースを思い返してもらいたい。コネクテッド・ドライブにはさまざまな形でIoTが利用されている。例えばコネクテッド・ドライブを使えば、快適にも、自宅のエアコンや照明など全てのシステムを自分の車から操作できるようになる。このシステムの特徴や設定から見ると、リモートでクラッキングされる可能性は、控えめに見積もっても決して低くない。ほかにもスマートカーの設計が安全ではないという報告がなされており、安全性は保証されてはいない。例えば、三菱自動車はWi-Fiから、BMWやアウディ、トヨタはラジオから侵入できた。

*1 編集部注 自動車に運転席からだけでなく遠隔地からもアクセスできるサービスのこと。標準装備として、SOSコール(24時間)とメンテナンス情報をディーラーに自動送信するテレサービスが付いている。

ジャックウェアを止める

開発され実装されようとしているジャックウェアを止めるためには、数々の事柄を実現しなければならない。大きく分けると2つの領域がある。第1の領域は、技術分野である。自動車のプラットフォームにセキュリティを実装する試みについては十分に検討の余地がある。ただし、フィルタリングや暗号化、認証といった従来のセキュリティ技術に必要な処理能力についてもう少し検討しなければならない。あまり遅延させずに実行する必要があり、そのための経費も追加される。エアーギャップ(*2)や冗長化(*3)といったセキュリティ技術を導入すれば、結果的に、自動車に相当の費用を加えることになる。だが、自動車製造業者にとって経費を徹底的に抑えるということは、常に最重要事項でもある

*2 編集部注 ネットワークからの物理的な切り離しによって安全性を維持すること。

*3 編集部注 システムやネットワークを多様化し安全性を高めること。

また、第2の領域は、政策と政治である。この領域は今のところあまりうまくいっておらず、サイバー犯罪を抑止しようとしても失敗している。サイバー空間においては犯罪のインフラが成立し繁栄しているが、そうした動きを抑えようとする国際的な協力は成功していない。遠隔医療やドローン、ビッグデータ、自動運転に至るデジタル技術のイノベーションに歯止めを掛けているのである。

2016年の時点での現状を考えてみよう。ランサムウェアが横行しており、数十万人もの人々がすでに数百万ドルを自身のファイルやデバイスを取り戻すために犯罪者に支払っている。そしてランサムウェアは、規模も範囲もさらに拡大し続けると思われる徴候がある。初期のランサムウェアは、シャドーコピーや接続されたバックアップデバイスの暗号化には失敗し、場合によって非常に簡単に復旧することもできた。現在蔓延しているランサムウェアは、シャドーコピーも暗号化し削除するとともに、接続されたバックアップデバイスをも暗号化し、破壊してしまう。

第一に、ランサムウェアを実装している犯罪者は、被害者が電子メールのリンクをクリックし、添付ファイルを開き、感染したWebサイトを訪問するという手法をとっている。今犯罪者は、標的にした組織のネットワークに侵入するためにSQLインジェクションを用い、戦略的にランサムウェアを全ての経路からサーバー(その多くがウイルス対策ソリューションを活用していない)に拡散させようとしている。

被害者からの訴えは頻繁に起こっているものの、大半は起訴や逮捕には至っていない。明らかにサイバー犯罪の抑止は進展しておらず、コンピューター化された自動車に対しても技術的な挑戦がなされれば、今後のジャックウェアの動きはあまり望ましい方向に進むとは思えない(あるいはむしろ、長期的に見るとサイバー犯罪者にとっては、望ましいこととなる)。

不可避性と倫理

それでは最終的に、ランサムウェアがジャックウェアを生み出すことは避けられないことなのか、考えてみよう。論理的には、自然な流れであるかのように見えるかもしれない。カナダ人の著名な自動車ジャーナリストのデイビッド・ブース(David Booth)氏は、過去に自動車のハッキングについて書いている。そこで彼は、ランサムウェアがノートパソコンやサーバーをどのように攻撃するかを説明し、次のような見出しを付けていた。「ランサムウェアの将来の目的は自動車を盗むことだ」というものである。確かに彼は正しかった。

自動車のロックを外すために支払いを要求するようなことが起こり得るのかどうかはさておき、自動車向けマルウェアが深刻なジャックウェア、そして深刻な危険を伴うのは、自動運転車においてである。次のようなシナリオを考えてみてほしい。自動運転車ユニットのロックを外すためにカードをスワイプする。車に乗り込み、行き先を選択し、出発する。ドアが安全のために自動でロックされるとともに、メールを読み始める。その後、ふと顔を上げると間違った方向に進んでいることに気付く。選んでもいない目的地に向かっているのである。そして、車内オーディオから声が聞こえてくる。この混乱から抜け出すためには、ビットコインを支払う必要がある、と静かに告げられる。

ここではっきりさせておきたいことは、ジャックウェアに対して警告をしたいということではない。この悪夢のようなシナリオを阻止するために、できることが幾つかあるのだ。また、もちろん犯罪者たちに新しい犯罪のアイデアを提供するためにこの記事を書いているのでもない。現実は、この種のことは彼ら自身がすでに思い付いている。覚えておいてもらいたいことは、クライムウェアによる攻撃は一種のビジネスであり、組織力を使い、市場原理にのっとって活動が行われ、しかも、追跡できないデジタル貨幣や第三者預託、評価システムなど、使えるものは何でも利用されている。専門的技能を巧みに使い、分業やモジュール化も行われている。ジャックウェアがまだ見つかっていない理由は単純に、時間の問題にすぎない。結局のところ「ロッキー」のような、現在流布している暗号化ランサムウェアに人々が支払いを続けていれば、わざわざ新しいものに乗り換える必要がないというだけのことにすぎない。

現時点で、自動車をハイジャックするソフトウェアは、まだまだサイバー犯罪たちの想像の産物にすぎないような「将来のプロジェクト」である。技術的には、今日まだ議論のさなかにあり、将来の自動車はうまく保護されているかもしれない。もしもFCA社がジープへのハッキングから学んでいれば、もしもフォルクスワーゲンが排気ガステストの不正から学んでいれば、もしもGM社のバグ報告の報奨金プログラムが機能すれば、そして、もしもコネクテッド・カーの支援インフラが安全につくられるのであれば、そういう可能性もあるだろう。

不運なことに、ここには多くの「もしも」が含まれている。「人はなぜ学ぶことができないのだろう……」という悲しいリフレイン(*4)が自動車のラジオから聞こえてきそうだ。

*4 編集部注 名曲「花はどこへ行った」の歌詞の一部。悲惨な戦争が繰り返されることを嘆く内容である。

この記事をシェア

ランサムウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!