地味におもしろい、組み込みセキュリティの話。

つながることの危うさ

丸山　自動運転のセキュリティも同じような状況ですか？

井上　自動運転のセキュリティの話はけっこうよく出るのですが、そのたびに言っているのは、そもそもネットにつながらなきゃいけないんですかっていうこと。なんかみんなネットにつなぐのが前提で言っているんですけれど、でもネットにつながっていること自体がすごい脆弱でしょう。だって携帯電話の電波って簡単に妨害できるんで、電波妨害したら、車、安全モードに入って路肩に止まるんだったら、もう盗まれ放題じゃないですか。サービス妨害もできてしまう。妨害電波なんて専用の機器がないと誰が発信しているかわかんないですからね。だから、そういう簡単なサービス妨害攻撃はできるので、やっぱりつながってないとダメな車は、ちょっと難しいのではないかと私は思っています。定期的にもちろんつながなきゃいけない必要はあるとは思うんですよ。たとえば、道路のデータのアップデートとか、交通状態のアップデートとか、いろんなものをアップデートしなきゃいけないので、ただ、つながった状態がないと動けないっていうのはまずいなと思ってます。

丸山　それって、車だけじゃなくて、例えば配達ドローンとか、そういうものにも同じことが言えそうですね。

井上　配達ドローンも電波妨害されたら時に、そのへんに着陸するのだったら、みんな持っていき放題ですよね。日本はわからないけど、アメリカだったら、なんか自動運転車も含めて、人気のないところを走っている時に、持っていかれると思うんですけどね。

丸山　以前Facebookにそれこそ流れてきた画像で、試験的に町の中で宅配ロボというかルンバみたいなのが危なっかしい感じで荷物を運んでいるのを見たのですが、あれはどう見ても、盗まれるじゃないかと（笑）。機器のセキュリティとかいう以前に、物理セキュリティの問題がありますよね。

井上　他にも、物理的に難しいなと思ったのは、日本は電柱・電線が多いから、そもそもドローンで効果的に飛ばして、目的地まで持っていけるのか、ちょっと心配はありますよね。

丸山　ドローンなんかも、組み込みセキュリティの範囲に入るんですか。

井上　私は直接やってないですけど、原理は同じです。独自の世界の、独自のコントロールをしている世界ですよね。やっぱりそこも、無線通信を必須にしてしまうと、いわゆる簡単な攻撃でものを盗まれるとか、盗られるというという、ほんとにもう簡単なレベルでの、高度じゃないサイバー攻撃が起きる。それから、もっとシンプルに物理的に持っていく、盗まれるっていう、非常にしょうもない犯罪が、そのまま起こるような気がします。

丸山　結局、問題になるのはなんでもそうなんですけど、防犯カメラとか、ルータとか、いわゆるネットワークに常時つながっている機械が、外部から乗っ取られるっていうことなんですね。

井上　そう。そこに不正なプログラムを入れられて、それがいわゆるボットになって、外部をまた攻撃をするというところが、今一番問題になっています。去年から急に話が出てきていますね。

丸山　基本的にカメラにしても、出荷時のままで使いますよね。パスワードにしても、IDもパスワードも出荷時のまま。そしたらもう、Linuxベースなんか完全に乗っ取られますよね。ワンパターンに乗っ取れるから、ひょっとしたらマルウェアを送り込むのも、もう自動でやっているかもしれない。

丸山　ほとんどこれ、素人が使う機械にLinuxが入っていて、それをネットワークにつないでしまうと……っていう話ですね。某メーカーのハードディスクレコーダーが踏み台になるとかですよね。

井上　防犯カメラなんかも、たぶん世界中にあるでしょうね。特に台湾や中国から出荷されてそのまま売られているやつとかが、たぶん何万台もあって、そのままデフォルトの設定で使っていると外部から入れて、もう、中に（不正なプログラムが）インストールできる状態ですね。でもインストールしても、機能としては正常に動いているんで、もちろんなんか重たくなっているかもしれないけど、まあわかんないですよね。

丸山　普通の人は感染していることも気がつかない。だからまあ、出荷する前にちゃんとしないといけないということですね。