2014年8月20日水曜日

【DEFCON22レポート(3)】やはりIoTは要注意

IoT(Internet of Things)が大流行なのですが、もしかしたら、これがInternet of Threatsになるかもしれないなどと思わせる話が多かったのも今回のDEFCONでした。

個別の事例がいくつか・・・。たとえば、米英で、信号機制御を行う交通システムに使われている車両検知センサの無線通信の問題とか。


このシステムでは、交差点での交通量をみながら、信号機のタイミングを制御するために、道路に埋め込まれた磁気センサで車を検知するのですが、その情報を無線で信号機周辺にあるアクセスポイントに送信しています。また、アクセスポイントから離れたセンサーの信号を中継するための、リピーターなども設置されており、これらは、信号機周辺をよく見ると簡単に発見できます。実は、この通信が暗号化されてもおらず、容易にプロトコルの解析ができるという話で、実際に情報の傍受ができるだけでなく、情報を改竄できる可能性もあるとのこと。直接的に、安全に影響するものではありませんが、悪用することで、交通を混乱させ、間接的に社会を棄権にさらす可能性があります。たとえば、混雑している側のセンサーに介入して、車がいない状態に書き換え、逆に空いている側に混雑情報を流せば、信号のタイミングは本来とは逆に調整され、渋滞をさらに悪化させることができます。これを街の複数地点で同時にやれば、都市交通を大混乱させることができる可能性も有り、ドライバーのストレスを増加させて事故を大幅に増やす危険もあります。また、それによる経済的、社会的なダメージを狙う攻撃も考えられるでしょう。この問題をメーカーに報告した発見者は、しばらく無視され続けたあげくに、最後に「指摘はもっともだが、我々のプロトコルは独自のものなので、危険は少ない」との返事を受け取ったとのことです。会場はその話で大爆笑。これは単純なシステムの例ですが、現在各国が進めている高度交通システムなどでは、もっと影響が深刻になります。このような感覚のメーカーが、そうしたシステムの開発に携わっているとしたら、将来的に大きな社会的リスクとなるでしょう。

スマート家電の問題は、昨年も取り上げられました。特にいわゆるホームコントローラの脆弱性は、様々な家庭内機器を不正に制御できる可能性や、ドアロックなども制御できる可能性が有り深刻だという話が上がっています。カメラやマイク内蔵のスマートTV(最近のテレビはSkypeアプリなどを積んでいるものも多いので)が乗っ取られると、家庭が丸裸にされてしまったり、会社の会議室での会議内容が筒抜けになったりというリスクも指摘されていました。しかし、いわゆるIoTは、こうした既にIT化が進んでいる家電だけではなく、様々なものをネットワークにつないでしまいます。たとえば、今回紹介されていたWiFi接続可能なLED照明などです。


電球などにリスクはない・・・と考えるかもしれませんが、少なくとも混乱や心理的な不安は引き起こせるかもしれません。また、むしろその実装によっては、先に書いたUSBコントローラのように、内蔵されたチップのファームウエアに介入することで、それを乗っ取り、踏み台化することも可能になるかもしれないという問題の方が、より深刻でしょう。このように、従来はネットワークとは無縁だった様々な機器がネットにつながることで、新たな脅威に直面するという単純な事実が、あまり重視されていないことが問題なのだと思います。米国では、政府も、そろそろこうした問題に対して取り組みを始めています。


さて、日本は・・・・と言う前に、こうした国を挙げての検討で、ひとつ問題点を挙げるとするならば、省庁縦割りの弊害で、こうした検討が、とかく特定の業界に閉じてしまいがちな点です。これまでネットと無縁だった業界が、いくら自分たちだけで頭をひねっても、ネットを長年使いこなしてきた攻撃者とは、その知見において何十年もの開きがあります。それでは、十分なセキュリティを考えられるはずが有りません。実際、業界主導で考えられたセキュリティ規格の多くが、その後、悲惨な状態に陥っています。こうした検討は、広くIT業界からセキュリティ専門家の参加を募って行われるべきでしょう。とりわけ、モノは世に出してしまったら、それに重大な欠陥があってもリコールする以外に修正する手立てがないことが多いからです。また、業界統一規格などに欠陥があれば、その修正は非常に困難です。(たとえば、デジタル放送で端末識別や有料放送の視聴管理に使われるBCASカードが改竄できてしまう問題などがいい例です)特に、日本はそうした傾向が強いと考えられるので注視しておく必要があるでしょう。

ホームコントローラ類の話では、ある超高級ホテル(中国)が、iPadで室内の様々な機器を制御できるシステムを導入したところ、その欠陥で、他の部屋の機器の制御までできてしまった・・・という報告もありました。どうやら、導入したのは欧州系のベンダのようで、制御のためのプロトコルは、欧州でも一般的なものだそうです。このプロトコルは、部屋の識別にiPadのIPアドレスを使用する、というきわめて単純な方法を使っているということで、かなり簡単に偽装ができたようです。また、この通信は客室のゲスト用WiFiを経由して行われていて、これも簡単にアクセスができてしまうという極めてセキュリティ的に幼稚なシステムでした。


これも、十分なセキュリティ上の検討を設計段階で行わなかったことが原因だろうと考えられます。あらゆるものがつながる時代。そこに踏み込んでしまった瞬間に「閉じた世界」は崩壊します。もはや「閉じたネットワーク」も存在しません。なぜなら、ネットワーク化することは繋ぐことが前提だからです。利便性を追求しようとすれば、それは少なくとも間接的にパブリックなネットワークと関係を持つことになります。そのリスクを「想定外」にしてはいけないのです。

今回のDEFCONでは、そうした思いもまた新たにしました。






2014年8月19日火曜日

【DEFCON22レポート(2)】USB機器の隠れた問題点

既に、複数のメディアでも取り上げられていますが、BlackHatとDEFCONで今回、大きな話題となったテーマです。

具体的には、USB機器の制御チップのファームウエア改竄への警告です。

USB(Universal Serial Bus)は、いまやPCのみならず、様々な機器と周辺機器接続のための標準的なインターフェイスとして不可欠のものです。ありとあらゆる種類のデバイス接続を可能にする柔軟性は、その制御機構に大きく依存しています。実は、すべてのUSBデバイスには、コントローラチップが内蔵されていて、それにより通信が制御されています。たとえば、旧型の携帯電話をPCに接続するためのUSBケーブルといったものにまで、制御チップが入っているのです。USB制御チップは一種のマイクロプロセッサで、プログラミングすることで様々なデバイスタイプに対応できるようになっています。このプログラムがファームウエアで、チップ内のフラッシュメモリに書き込まれています。

ファームウエアはバグ対策や機能追加などのために更新が必要なことから、外部から書き換えが可能になっています。問題は、これを書き換えることが、意外と簡単にできてしまうということなのです。

制御チップは、周辺機器とPCなどのコンピュータ間の通信に介在できます。もちろん、チップの処理能力の限界はありますが、理論上は通信の改竄などができることになります。また、USB経由で指令を受け取って、何かの動作をするというような仕掛けが可能になる場合もあるでしょう。

最も大きな問題は、外付けだけでなく、PCやタブレット、スマホなどの内部に、多くのUSBコントローラチップが組みこまれていることかもしれません。こうした内蔵デバイスはデバイスドライバによって制御されるため、改竄されたファームウエアがドライバの動きに介入できる可能性もあります。デバイスドライバの多くは、システム上での高い権限で動作するため、こうした特権を外部から奪取することができる可能性もゼロではありません。(こうした問題は、DEFCONのセッションで指摘されていました)


USBデバイスの開発者向け情報は、開発者向けサイトでオープンにされており、かなり詳細な技術情報が得られます。また、以下のスライドのような、USB通信をモニタしながらデバッグが可能な機器や開発用のソフトウエア、ツールなども商用、フリーを含め、様々な物が入手できます。


セッションでは、こうしたツールを使用して、USB機器のチップを書き換え、PCから違うデバイスに見せるというデモが行われました。こうしたデモはあくまでもコンセプト的なものですが、もし、誰かが本気で取り組んだら、マルウエアにファームウエアを書き換えさせてデバイスを乗っ取るということが出来てしまう可能性を示すものでもあります。コントローラチップの能力は限られており、一般のソフトウエア完全性チェックで使用されるハッシュなどの暗号技術に基づく計算は困難だといいます。そうした制約の多い環境下で、どのような改竄対策が取れるのか。これは真剣に考えなければいけない問題だと感じました。

2014年8月14日木曜日

【DEFCON22レポート(1)】今年のDEFCONは・・・・

先週、8月7日~10日の日程で行われた毎年恒例のDEFCONに参加してきました。今回も、なかなか面白い講演を聴くことができましたので、このブログでも、いくつか紹介したいと思います。


会場はラスベガスの Rio Hotel and Casino で、ここ数年はこの会場で行われています。このイベントは、いわばハッカーの「夏フェス」ともいえるもので、様々な講演(しかも、かなりコアな内容)やハッカーイベント、CTF、ジャンク市といった様々な催しが行われます。格式張った他のコンファレンスなどとは違い、ビール片手に講演を聴く・・・といった雰囲気の中で、実は世界のセキュリティ界でも指折りの人たちが集まる場です。DEFCON22という名前の通り、今年で22回を数える老舗のイベントでもあります。

事前登録などはなく、当日、デスクに並んで現金で参加費を払い、バッジなどを受け取るという形なので、例年、初日にはホテルの会場周辺に長蛇の列ができます。今年は、その列がホテルの中をはみ出し、炎天下のプールサイドを一周するという殺人的な混雑になりました。


上の様子を見るだけですさまじい感じがわかると思いますが、実は、この数倍の長さの列がホテルの中まで続いているのです。結局、午前10時に列に並んだあと、30分あまりを炎天下で過ごし、さらに中に入ってから2時間半・・・・。バッジを受け取るまでに3時間かかるという壮絶なものでした。

こうした列が出来るのには、ちょっと訳もあります。それはDEFCON恒例になっている、この特製バッジです。


毎年、趣向を凝らした電子回路搭載のバッジが配られます。実は、このバッジにはマイコン内蔵チップが搭載され、ユーザが改造を施すことができるのです。実際、会期中に改造してしまう猛者も多くて、バッジ改造コンテストも開かれます。通常はLEDがいくつかのパターンで点滅するのを、タッチスイッチで制御するだけなのですが、出ている端子に外付けで回路を追加し、それを制御するプログラムを書き込めば、様々なことができます。まさに、Geekの祭典にふさわしいバッジですが、数に限りがあり、出遅れると入手できずに悲しい思いをします。なので、みんな3時間並んででも初日にバッジを入手しようとするわけです。

今年は4日間の日程で開かれたDEFCONですが、初日は2トラックで、あまり多くの講演もないので、多くの人は、バッジを受け取るためだけに会場に来ています。私も、さすがにこの3時間で疲れ切って、バッジを手にホテルに戻って休憩となりました。

夏場のラスベガスは40℃近い猛暑です。湿気がないので、日本の夏ほど蒸しませんが、午後になると路面が焼けて、風が熱風になります。会場のRIOから、今回滞在したホテルまでは、見通し距離なのですが、歩こうと思ってしまえば地獄が待っています。特に、鉄道とハイウエイ15号線を越える橋の上が最悪。思えば砂漠の中に出来た街ですから無理もありません。


ペットボトルの水を持ってはいたものの、ホテルに帰り着く頃にはすっかりバテきっていました。ラスベガスの夏の日中は危険です。

とりあえず昼寝などして、体を休めてから、夕食がてら街に出てみました。日が落ちて涼しくなった街は、様々な国の観光客であふれ、賑わっていました。


ということで、引き続き、DEFCONの話題を書いていくことにします。お楽しみに。

【講演予定】ID&IT Management Conference 2014

ID&IT Management Conference 2014 で以下のようなタイトルの講演を行う予定です。


Internet of *
「IoTとビッグデータが招くアイデンティティーの多様化」


なんとなくバズワードと化しつつある「ビッグデータ」。Internet of Things (IoT) も同じ道をたどるのでしょうか。こうした「言葉」の流行の陰に、いつしかその本質が覆い隠されてしまうのはよくあること。デバイスのクラウドと言ってもいい IoT がビッグデータと結びつく時、何が起きるのか。デバイスやデータの集合がアイデンティティーを獲得する。そして、それが人間とも不可分になっていく。そんな社会について考えてみます。

大阪: 2014年9月17日(水) 9:30〜17:40(9:00〜受付開始)ANAクラウンプラザホテル大阪
東京: 2014年9月19日(金) 9:30〜17:40(9:00〜受付開始)ANAインターコンチネンタルホテル東京


ご興味があれば、是非、ご来場ください。

なにか起きてから慌てても遅いインシデント対応

先日も、通信教育会社大手の個人情報漏洩が大きな話題になりました。こうした事故が起きるたびに思うことがあります。たとえば、様々なメディアから一斉にニュースが流れ、事実と憶測がまざった情報やらコメントが巷にあふれたあと、当事者側から、あたりさわりのない、もしくは、場合によっては問題を(結果的に)過小評価したようなコメントが出される・・・。謝罪会見が行われ、そこでは「想定外」が強調され、再発防止への努力が約束される・・・・。

これまで、多くの企業がこうした事故を起こし、同じような対応をしています。しかし、事故がなくならないばかりでなく、事故後の対応も、私などから見れば、まったくといっていいほど進歩がみられません。

その原因はひとつです。企業が、こうした事故が起きるという前提に立ってものごとを考えられていないからです。

面白い話があります。ずっと以前から、専門家の間では、情報セキュリティ事故の際の対応訓練といったものの必要性が言われてきました。ある時、とある企業の情報セキュリティ責任者が、経営者にこうした訓練を提案したそうです。そのときの経営者が言ったとされる言葉が、日本企業の現状を物語っているのです。「なぜ、そんなことをしないといけないんだ。そういうことが起きないようにするために、君に給料を払っているんだぞ」・・・と。

たしかに、事故は起きてはいけないことです。そのための予防手段を考えることは重要です。しかし、そこに人がからむ以上、ミスや故意、想定不全による事故は必ずと言っていいほど発生します。予防対策がしっかりしていればいるほど、何か起きた時は重大なものになりがちです。予防対策で、些末な、もしくはある程度の事故が発生する頻度は大きく下がります。しかし、とりわけ、故意や対策が想定していなかった原因による事故が相対的に大きな比率を占めるようになるわけです。それを考えれば、どれだけしっかりした対策を考えていても、事故の可能性は捨てられません。まして、一旦発生してしまえば、ビジネスをゆるがす問題に発展しかねないわけですから、発生した場合、どうして影響を最小限に押さえ込むかが重要になってきます。

海外のセキュリティコンファレンスに行くと、必ずと言っていいほど、リスク管理のトラックに、こうしたインシデント対応を考えるセッションがあります。先日、シンガポールで開催されたRSA ASIA PACIFICコンファレンスでも、「情報漏洩事故を起こした後、いかにして信頼を回復するか」と銘打ったセッションがありました。こうしたセッションでは、共通していくつかの「原則」が語られます。

・コミュニケーションの原則

被害者がいる場合、その人たちへの連絡とケアを最優先すべきである。事態が公になる前に、被害者との間でコミュニケーションが必要な場合(そうしないと、被害者にさらなる被害や苦痛を与えるような場合などがあるので、公表タイミングは慎重に行うこと。

会社として、広報を交えたかたちで、迅速に体制を立ち上げ、正確な情報をこまめに発表すること。(最初の会見で、責任を回避するような言動や、被害を過小評価するような言動を行うと、信頼の維持が難しくなるので、事実を事実として伝え、わからないことは、はっきりそう言ったうえで、タイムリーにアップデートしていくこと)

コンプライアンス上、当局への報告などが必要な場合は、迅速に実施すること。また、捜査機関等の関与が必要な場合は、早い段階で連携を開始すること。


・延焼防止とビジネスの維持

問題がわかっている場合、ただちに問題箇所に対して応急処置を行うこと。但し、その処置によって、原因究明や証拠収集に影響が出るような操作は回避すること。

同種の問題が他で生じないかどうかを迅速に確認すること。また、そうした可能性のある部分に対して応急措置を講じること。

その上で、業務やサービスの変更、停止が必要な部分について、優先度の高い部分から対応していくこと。やむなく業務、サービスを継続せざるを得ないという経営判断はありうるが、その場合、新たな問題が生じないか厳重に監視、管理を行いつつ継続すること。



このほかにも様々な原則が語られますが、こうした原則の多くは、事前の準備がないと実行できません。シナリオに基づいて、体制や対応方法を十分検討し、関係部署や関係者に周知しておく必要があるのです。そのためには、こうした事故がありうるという前提に立つ必要があるのです。

企業の情報セキュリティ責任者の仕事は、第一義的には、こうしたインシデント発生を未然に防ぐことにあるわけですが、本当に手腕が試されるのは、こうしたインシデントが発生してしまった時です。いかに迅速に対処し、様々な被害を最小限にとどめられるかが問われます。そういう意味では、日本企業の情報セキュリティ担当者は、まだその仕事の半分しかこなせていないのかもしれません。

競争が激化するビジネスにおいて、勝ち残っていくためには、どんどん新しいことにチャレンジしていくことが必要です。たとえば、市場を広げるためには、これまで避けていた、リスクの高い取引を行う必要も生じます。このような場合、ビジネスの世界では、たとえば、貸し倒れやキャンセルなどの発生を想定しつつ、それがビジネス全体を脅かさない方策を考えます。それがビジネスを成功に導くリスクマネジメントなのです。そして、これは、情報セキュリティやITの世界でもまったく同じです。リスクを抑えながら、どのようにして新しい技術を取り込んでいくか、それがこれからのITに求められることであるならば、様々なインシデントの発生を前提とした取り組みが必須だと言えるのではないでしょうか。

【記事】セキュリティにもストラテジストが必要

エンタープライズ・ジン IT Initiatve に対談記事が掲載されました。

セキュリティにもストラテジストが必要


日本HPの藤田さんとの対談形式の記事です。クラウドのセキュリティを考える上で、とりわけ日本のクラウドユーザがかかえる課題についてお話ししました。

【記事】IoTとビッグデータの組み合わせは劇薬かもしれない

エンタープライズ・ジン IT Initiative にインタビュー記事が掲載されました。

「IoTとビッグデータの組み合わせは劇薬かもしれない」

IoT (Internet of Things)は、様々な機器をネットワーク化することにより統合管理しようという流れなのですが、実は、こうしたネットワークはビッグデータ収集のためのセンサー端末としても働きます。事業者にとっては近い将来、機器管理の効率化よりも、収集されたデータの方が大きな価値を産むという可能性が高いのです。そのような視点からIoTを見た時、単にデバイスネットワーク以上の課題が浮き上がってきます。このインタビュー記事ではそうした視点からIoTとビッグデータがもたらす、セキュリティ上の課題についてお話ししています。

【寄稿】ITLeaders続編

第7回 クラウドにおけるインシデント対応(後編)

第8回 クラウドアプリケーションのためのセキュリティアーキテクチャ確立を


が公開されました。いずれも、前回同様、CSAクラウドセキュリティガイダンスに基づく解説記事です。