IoTが注目される時代だが、セキュリティに関しては数多くの課題を抱えている。特に情報通信機器(システム)が搭載された自動車の場合、他の乗り物と比べて個人管理の度合いが高く、かつ、台数が非常に多い点でハッキングやボット化の対象になりやすいという懸念がある。また新車だけなく中古車の利用もあるため、今後パソコンや携帯端末以上に脆弱性対策等が求められるだろう。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。
2015年夏、米自動車メーカーのFCA(旧クライスラー)社は140万台のスマートカーに対して、ハッキング対策を目的とした初の大規模なリコール(回収・無料修理)を公表した。
「スマートカー」は無線などによってインターネットとつながっており(「コネクテッドカー」とも呼ばれる)、コンピューターやスマートフォンと同様に、第三者による侵入や攻撃が可能である。FCA社の場合「Uコネクト」という車載情報システムを利用しており、ここから各車のコンピューターにハッキングが行われる恐れがある。
特に自動車の場合、ハンドルやアクセル、ブレーキなどの操作がリモートで可能となると、直接人命に関わるような事故を引き起こしてしまうため、十分にセキュリティやアップデートなどに配慮する必要がある。
FCA社は対応として修正プログラムを提供し適用を呼び掛けていたのだが、車の持ち主の自主性に任せても十分には対応しきれていない現状を鑑み、リコールに変更することとなった。
スマートカーのハッキングを動画でデモ
事の起こりは2015年7月にラスベガスで行われたセキュリティ関連のカンファレンス「ブラックハット(Black Hat)」だった。セキュリティ研究者のチャーリー・ミラー(Charlie Miller)氏とクリス・バラセク(Chris Valasek)氏は、この集会を前にして車の脆弱性の発表をエントリーし概要を公開したため、自動車業界は騒然となった。また「ワイヤード」誌が彼らとともに実際にハッキングすることに成功した映像をYouTubeにアップしたため、世間でも広く注目を集めることとなった。
だが残念なことに、サイバーセキュリティの専門家たちは、このシステムに深刻な脆弱性があることを知っても、全く驚くには至らなかった。
なぜ驚くに値しないのか
人類は長い歴史の中でさまざまな情報技術を発展させてきた。中でも無線通信については、本質的に常にハッキングの危険性を伴ってきた。もちろんセキュリティの専門家は繰り返し警告を発してきたが、これまではまだ、コンピューターやスマートフォンといった情報の授受を基本とする機器に限られていたため、その被害もまた、現実社会を脅かすほどではないと考えられてきた。
しかし、IoT(モノのインターネット)が実用化し始め、あらゆる機器がインターネットにつながり得るような状況になって、あらためてセキュリティの重要性が強調され始めている。
例えば、ESETの研究者であるキャメロン・キャンプ(Cameron Camp)氏もまた、2012年の初めに非常に先見の明を持った警告を行っていた。
キャンプ氏は、自動車のような、かなりの速度で空間を移動している鉄の塊がハッキングされてしまうと、その制御を失敗すれば、多くの犠牲者を出しかねない場合がある、と訴えていた。
そして今、セキュリティ業界はこうしたIoTのハッキング対策を喫緊の課題として考えている。ところが、世間ではまだ、事の深刻さに十分に気付いていないようだ。
少なくとも、人間を高尚なものとして見るのではなく、どうしようもない「性(さが)」を持った存在として捉えることが必要だ、というのがセキュリティ業界の暗黙の了解である。サイバー犯罪は、人間の欲望や欲得がストレートに反映されているのである。
テクノロジーとは何よりも、世の中を良くするために利用されるはずであるが、場合によっては負の結果を生み出す場合もあるし、あえてそうした使い方をする人もいる。
傍(はた)から見ればセキュリティ業界は、過度に不安をあおったり過剰に心配事を増やしているような、口うるさい存在にしか見えないかもしれない。
しかし逆にセキュリティ業界から見れば、なぜこれほどまでにメーカー側はセキュリティに興味を持たないのか、不思議でならないのである。
確かにサイバー空間というデジタル世界は、現実的な物理世界と大きく隔たり、大きく異なっている。自動車の製造に従事している人にとっては、交通事故ができるだけ少なくなるようにするためには努力を惜しまないし、飲酒運転や車の盗難に対しても技術的な防止策が採れるようにさまざまな試みを行うであろうことは想像に難くない。にもかかわらず、サイバー脅威については、極めて関心が薄いのが実情である。
例えば、車載ユーティリティを設計している人たちの中で、悪質なハッキングツールの世界市場が成立していることや、そのハッキングツールを使用して実際に悪さを行っている人々がいるということを気にする人を見つけるのは、かなり難しいのではないだろうか。しかし、サイバー空間には、窃盗犯やスパイが無数に存在し、国家諜報機関や政治活動家、テロリストなどが暗躍しているのである。
セキュリティ意識のギャップ
「Uコネクト」のシステムに脆弱性があったとしても驚くには値しないが、FCAがリコールを決め、回収・修理への対応に至るまでにかかった時間は、驚くべきものがある。
2014年1月の時点でFCAは、通信ポートが意図せず開放状態となっており、その通信を盗み聴きしたり、不正な発信元からのコマンドを受け入れたりできる、つまり、無線のファイアウォールのルールがデフォルト状態となっていて外部に対して完全に開かれており、結果として外部デバイスが無線を使って通信できるようになっていたことを把握していたのである。
しかしこうした情報を得ていたにもかかわらず、この企業が行ったのは、2014年6月以降に製造する車両のプログラムを改修することだった。また、この影響を受ける車種の所有者に無償のソフトウェアアップデートを呼び掛けることだった。だがアップデートを決定しても、2015年の7月14日までこの情報はこれらの車種の所有者に届くことはほとんどなかった。それは「無償」アップデートであったとはいえ、開いているポートを閉じるようファイアウォールの設定を直さなければならず、車の持ち主には負荷が高すぎたと言えるだろう。なにしろそのアップデートは、Webサイト経由で大容量のディスクイメージをダウンロードし4GBの空き容量のあるUSBメモリにコピーするという手間をかけねばならなかったからである。
アップデートしない10の理由
リコール対象となった車を使っていた140万人の被害者が、どうしてアップデートを速やかに行わなかったのだろうか。ここで10の仮説を出してみよう。
1) インターネット接続する環境がない
2)690MBのデータをダウンロードできない(インターネット接続はある)
3) コンピューターにUSBポートがない
4) すでに端末がマルウェア感染している
5) USBメモリがマルウェア感染している
6)手順通りにアップデートを行えない
(「手順」は細かく分けると、以下、10のステップ。この手順を真面目に執り行う人はどれだけいるだろうか)
|
7) FCAから届いたように見える更新のリンクをクリックするが、実際には攻撃者からのものかもしれない
8) カスタマーセンターから更新プロセスを伝えるために連絡が入るが、この連絡が実は偽物かもしれない
9) 所有者が分からない、もしくは所有者に連絡がつかない
10)誰もが入手可能な更新ファイルを攻撃者が検証し、新たな攻撃方法を探し出している可能性もある
この最後の点について気になる人がいるかもしれないので、もう少し説明しておこう。
実際には「誰でも」入手可能ではなく、VIN(車両識別番号)がなければ更新ファイルはダウンロードできない。しかしVINを得るには、中古車のネット広告を探し、該当する車種/型番を検索するだけである。その広告には決まってVINが含まれているため、買い手がその車の過去を知ることができる。適したVINを見つけるのに1分とはかからない。
この危険な状態をどのように解決するのか
では、この問題に対しFCAはどのように対応すべきなのだろうか。
例えば、パッチが当たっていない脆弱性といった致命的な可能性が「ワイヤード」誌によってレポートされた直後にFCAがリコールを発表すれば、ディーラーは顧客のために修正プログラムをインストールできたかもしれない。
だが、FCAにとってリコールは、もともとの「無償ソフトウェアのアップデート」計画よりも大きな決断を強いられることになる。リコールは法律上特別な立ち位置を持っており、製品保証に対する法的義務に関連するからだ(リコールに関するページを参照)。
しかし、リコールもまた決して完璧なものではない。車の所有者の中には次のように指摘する人もいる。
「誰もその通知を見ない、誰もその通知の対処を行わない。そういう事態もあり得る。車は古くなれば持ち主も変わる。車両の中にはレンタカー会社が所有する場合もあり、レンタカー会社はリコールを快く思わないかもしれない」
車に装備されたソフトウェアの脆弱性に効果的に対処しようとすれば、全ての車両に対して更新が確実に実施されること、できればほぼ一斉に実施できることが望ましいのである。ソフトウェアの脆弱性に対する攻撃の典型的な手法は、更新されていないシステムをターゲットにすることだからである。
それゆえ、今後、車載ソフトウェアに対するサイバーセキュリティのリスクは、商品開発のライフサイクル上において、そして商品のライフサイクルを通して、本気で取り掛かる必要がある。FCAはこの点で致命的な失態を演じたのではないだろうか。FCAにサイバーセキュリティに対する配慮が十分であったかどうか、大いに疑問が残るのである。
以下は、FCAでの仮想やりとりである(全くの創作である)。
|
アダム 「車がリモートでコマンドを受けられるようにしよう」 |
アダムはここで「よさそう」と言っているが、冷静に考えれば完全な間違いであることに気付くだろう。もしこのミーティングにセキュリティに詳しい人間がいれば、その時点で直ちに指摘されたはずである。
リスク、コスト、そして影響
このような設計のプロセスにおいて発生したセキュリティ問題を前もって食い止めていたら、どのくらいコスト削減ができたであろうか。
それはおそらく1,000万ドル(10億円)を下らない。
140万台の車のうち100万台が修理の依頼をしたとしよう。ある調査によれば、メーカーは販売店に対し更新プログラムのインストールのために、1台当たり0.4時間費やしている。この販売店に対する保守作業を1時間当たり25ドルとすると、作業の一部だけですでに1,000万ドル(1,000,000 ×0.4×25)になってしまう。さらに所有者への告知費用や販売店がソフトウェアをダウンロードするために費やす時間が加算される。なお、アップデートに必要なUSBドライブを誰が負担するのかについては触れられていない。
今回の件は、自動車産業の過去の歴史の中で、自動車業界が欠陥のあると分かっている車を売ると思われるようになった出来事、と指摘されるかもしれない。リスク評価に基づけば、商品の欠陥を修正するコストは、欠陥が問題とされた場合の費用(死傷者の発生や訴訟が含まれる)と比べてはるかに大きくなる。またFCAに対して米国の道路交通安全局は罰金(約1億ドル)を言い渡している。その他費用や追加罰金などの可能性を加えれば、最終的には10億ドル以上にも上る恐れもあるとされている。
この問題についての考察は、キャンプ氏の言葉で締めくくることにしたい。実は彼はこのリコールの対象になったジープの所有者でもあるのだ。
「リコールは各人に更新を要求するよりも効果はあるでしょう。Microsoft社の更新プログラムをコンピューターにインストールすることを考えてみれば分かります。もちろんコストは発生しますが、更新プログラムの適用率が下がるよりはましです。ただ多くの自動車企業は、更新プログラムのことを考えていないのではないか。新しい自動車を売ればいいと考えているのではないか。しかし、コンピューターの使用サイクルは数年ですが、車の場合は十数年です。自動車会社が今までサポートしていた車を生産停止にしてしまっても、その車は、ハッキング可能な欠陥を残したまま走り続けるという事態があり得るということを考えておく必要があるでしょう」
この出来事は、製品開発におけるサイバーセキュリティリスクに関して、しっかりとした対応をしなければ、最終的にメーカーとして膨大なコストとなってしまう歴史的な事例の一つとなるだろう。
