「つながる」ゆえの危険性。事例で紐解くスマートプロダクトのサイバーセキュリティ

本連載シリーズでは、これまで主に自動車に対するセキュリティをテーマに取り扱ってきました。自動車業界のビジネス自体を脅かす可能性があると述べた第1回『CASE時代の自動車におけるサイバーセキュリティの要諦』、第2回『自動車セキュリティにおける、攻撃検知のための「組織・ツール・プロセス」』に続き、第3回では『自動車における「セキュリティ脆弱性評価」の手法と実践』と題して評価方法を考察しました。今回はよりターゲットを広げ、私たちの生活の利便性に向上しているスマートプロダクト全般のセキュリティについて解説します。

「スマートプロダクト」（または「Smart, Connected Product」）とは、ハーバード・ビジネス・スクールのマイケル・ポーター教授らが提唱した、「外部と接続し、収集したデータによる監視・制御・最適化・自律性の機能をもつデバイス」の総称です。

スマートプロダクトの一例として、ロボット掃除機が挙げられます。ロボット掃除機は、センサーから収集した部屋の環境などに関するデータを活用する機能のほか、スマートスピーカーやスマートフォンとの接続機能を有しています。ロボット掃除機は学習機能によって掃除を効率化するだけでなく、音声や外出先からの指示を受け付けられるなど、ユーザーの生活体験をアップグレードする存在だといえるでしょう。

スマートプロダクトは着実に社会へと受け入れられており、稼働台数ベースで2025年には全世界で約750億台まで増加する^*1と予測されています。市場の拡大とともに、今後も新たな製品や関連サービスが登場することが期待されます。

一方で、これまで外部とつながることがなかった製品が接続機能を持つことによって、新たなリスクも生じます。スマートフォンやパソコンではインターネット接続による様々なセキュリティインシデント（事件・事故）がすでに多数発生しており、コンピューターウイルスによる攻撃や不正アクセス問題などが日常化しつつあります。スマートプロダクトもインターネットに接続された場合、同様に攻撃対象になりえます。また、USB規格の接続端子を持っているならば、USBメモリを使ってウイルスに感染させられる可能性もあります。このように、外部接続が可能になることで、スマートプロダクトは新たなリスクにさらされることになります。

スマートプロダクトに対するサイバー攻撃の事例を整理すると下図のようになります。今日では攻撃手法も被害のあり方も多様化しているのです。

スマートプロダクトにおける被害例

スマートプロダクトに対する攻撃対策においては、スマートプロダクトの特性の考慮に加え、接続される周辺機器・環境、さらにはエコシステム全体を考慮する必要があります。

スマートプロダクトには、それぞれ固有の設計思想や機能／仕様があります。サイバー攻撃への対策を講じるには、これらの特性への理解や考慮が重要です。

具体的な攻撃事例を見ながら、スマートプロダクトの特性と対策方法を考察します。

事例1：デジタルサイネージ

デジタルサイネージ用に作られたディスプレイは、一般的にWi-Fiなどの通信機能を有し、配信サーバからダウンロードしたコンテンツを更新・表示します。昨今では、このデジタルサイネージと他のシステムの連携による新しいサービスを提供する事例が増えてきています。用途の代表的な例は以下の通りです。

• 空港：航空会社のフライトインフォメーションシステムと連携することで乗客向けの搭乗時刻などの案内サービスを提供
• 病院：病院情報システム（HIS）と連携し、患者の診察受付番号を提示するほか、各患者に対応した個別案内を提供
• 消費財の小売店（ファッションブランドのショップ等）：来店客ごとにカスタマイズされた広告の表示や各種のサービスを提供

攻撃内容と対策への考察

空港のデジタルサイネージシステムで起きた不正アクセスを事例として、デジタルサイネージの特性とサイバー攻撃対策を考察します。この事例において悪意のある攻撃者は、配信サーバになりすましてマルウェアをデジタルサイネージに送り込み、デジタルサイネージの管理者権限を乗っ取った上で踏み台として悪用し、最終的に空港内のシステムへの不正アクセスに成功しました。

このデジタルサイネージでは、配信サーバからのデータ取得に汎用的な通信プロトコルであるFTPを使用していましたが、正しいサーバとの接続を保証する認証の仕組みや、コンテンツを暗号化して保護する仕組みを取り入れられていなかったことが不正アクセスの原因となった可能性として考えられます。

スマートプロダクトは、ユーザーやステークホルダー、他システムとコミュニケーションをするための様々なインターフェースを有しています。これらインターフェースへの攻撃に対して脅威分析／リスク分析を行なうことで、セキュリティ要件を定義し、リスクを適切に抽出・管理する必要があります。

すべてのインターフェースは攻撃経路と想定し設計

事例2：Raspberry Pi・スマートフォン

エッジコンピューティングとしてのRaspberry Piやスマートフォンは広く様々な用途で使用される代表的なスマートプロダクトです。スマートプロダクトの開発効率性や機能拡張性を大幅に向上するため、広く普及したプラットフォーム／OSS（オープンソースソフトウェア）が使用されることも少なくありません。それらに使われるWindowsやLinux、Android、その他汎用的なソフトウェアの脆弱性を入り口に、病院や学校、研究機関など様々な重要システムへ不正アクセスがされた事例が多数報告されています。

攻撃内容と対策への考察

ある研究機関で発生した、Raspberry Piを起因（攻撃経路）とする不正アクセスを事例として、その特性と対策を考察します。

悪意のある攻撃者は、Raspberry Piが持つ、USB、SD、Wi-Fi、Bluetoothといった汎用的なインターフェースの脆弱性を突いて攻撃することが出来ます。セキュリティ対策がされていないRaspberry PiのUSBメモリやSDカード経由でマルウェアを自動で読み込ませることにより、システムが乗っ取られる可能があります。

事例では、セキュリティ対策がされていないRaspberry Piが乗っ取られ、さらにその先の研究機関システムの不正アクセスが発生しました。

スマートプロダクトは多くの汎用インターフェースを持つため、それらの脆弱性はセキュリティアップデートで常に最新の対策を施す必要があります。しかし5年や10年など製品寿命が長いスマートプロダクトについては、リリース当時のハードウェアリソースの中で適用できる、各システムに対する継続的かつ仕組み化されたセキュリティアップデートの構築・維持が必要です。ソフトウェア企業やオープンソースコミュニティなどに脆弱性管理や対策スキームといった運用面の仕組みがあるかを考慮する必要があります。

ソフトウェアアップデートの適用および運用スキームの構築

この事例で紹介するスマート照明は、各スマート照明とそれらを登録・管理する機器(ブリッジ)で構成され、スマートフォンやスマートスピーカーの音声認識によって操作されます。
また、照明とブリッジの間はZigbeeプロトコル、ブリッジとスマートフォン・スマートスピーカーの間は家庭のWi-Fiに接続されます。

攻撃内容と対策への考察

この事例において悪意のある攻撃者は、スマート照明とブリッジの間で使用されるZigbeeの脆弱性を悪用しました。ブリッジにおいてバッファオーバーフローを引き起こし、さらにブリッジへマルウェアをインストールして踏み台とすることで、ブリッジを経由して家庭のWi-Fiへ侵入することに成功しています。

スマート照明の持つZigbeeの通信機能がセキュアであるべきことは言うまでもありません。一方で、ブリッジが侵害されたことを検知しユーザーへ通知出来なかった点は、自宅ネットワークに対するさらなる攻撃継続を援護してしまい、事象を悪化させた要因と考えられます。

スマートプロダクトは他のシステム／デバイスやネットワークと接続しサービスを提供することから、攻撃を検知し、被害が拡大する前にユーザーへ対応を通知する、または機能を一時的に停止させるなどの対策を取り入れることが有効です。

また、スマートプロダクトの使用環境がユーザー環境（Wi-Fiなど）に依存する場合は、推奨される通信のセキュリティ強度などをマニュアル類で提示することも効果的です。

攻撃検知と通知/対策およびユーザーへの利用規約提示

以上のように、スマートプロダクトにおけるサイバーセキュリティリスクを軽減するためには、スマートプロダクト自身を含む、サービスを実現するシステム構成および使用環境など、それぞれの特性を考慮した対策を講じる必要があります。

ここまで、事例を交えながら「スマートプロダクトやサービスの脆弱性」への対策が必要とされていることを説明しました。本章では更に視野を広げ、スマートプロダクトやそのバックエンドサービスの関係者、特にサプライヤやユーザーを含むエコシステム全体におけるセキュリティリスクを考察します。

国立標準技術研究所（NIST）が発行した「NIST Special Publication（SP）800-161」^*2で指摘されている通り、システムの設計・開発・運用などの実行において業務の一部を協力会社へ委託することは一般的ですが、委託関係が重層的に連鎖した場合に「再委託先で発生するリスク」を委託元が直接管理することは困難です。

一方、攻撃者（ハッカーなど）は協力会社やデバイス、ユーザーを踏み台にして外堀を埋めながら、徐々に本丸である大企業への攻撃・侵入を試みます。そのため、自社のみならず、協業先や取引先のセキュリティも含めたエコシステム全体で早急に対策を整備する必要があります。

エコシステムに対するサイバー攻撃

エコシステムを通じたスマートプロダクトへの攻撃を防ぐには、スマートプロダクトに対する技術的な検討だけでは不十分です。前述のNIST SP800-160を紐解くと、そのセキュリティリスクは組織、ビジネスプロセス、システムの３領域に分解してリスク分析を実施することが提案されています。

それぞれでの主な取り組みは次の通りです。

1. 組織
   • スマートプロダクトの設計・製造・保守など製品ライフサイクルに関わる全ての関係者が、品質の一部としてのサイバーセキュリティ確保に係る責任を主体的に持つこと
   • サイバーセキュリティに関するルールを各関係者が遵守するためのガバナンスを構築し、継続的な改善を図ること
   • 全関係者のセキュリティ意識向上を継続的に図ること
   • サイバーセキュリティに関連するプログラム管理を実施すること
2. ビジネスプロセス
   • サイバーセキュリティに関するルールを確立し、全関係者が内容を参照・理解出来る運用を確立すること
   • 調達先への要求事項明確化、及び監査実施による品質検査を実施すること
3. システム
   • スマートプロダクト自体やスマートプロダクト管理システム、それらと接続する全システムで、アクセス制御、構成管理、認証などサイバーセキュリティの設計・実装・保守を実施すること
   • スマートプロダクトへの攻撃を検知する仕組みを確立し、インシデント対応を実施すること

スマートプロダクトのメーカーにとっては、自社のサイバーセキュリティ整備のみでもクリアすべきハードルが多いにも関わらず、「エコシステム全体の整備」となると、もはやお手上げの状況も少なくありません。

しかしスマートプロダクトに対するサイバー攻撃は物理的な被害を利用者に与えかねないため、後回しにできない経営課題だといえます。サイバーセキュリティを自社製品の「品質」の一つとして捉え、継続的に対策と整備を行なうことが重要です。