2006年12月27日(水) 09時31分
議論すべき時が来た組み込み機器のセキュリティ(ITmediaエンタープライズ)
ソニーは12月21日、非接触ICカード「FeliCa」の暗号が破られ、偽の入金が可能だとする報道に対し、それを否定するコメントを発表した。
FeliCaは、電子マネー「Edy」「Suica」のほか、おサイフケータイクレジット「iD」「QUICPay」「VISATOUCH」といったサービスに採用されている。そのFeliCaの暗号が破られ、偽の入金が可能だとする雑誌内容に対しソニーは、「セキュリティ関連の事故報告は一件もない。また、暗号解読は確認されていない」とコメントし、報道を否定した。
(関連記事:FeliCaの暗号が破られた?——ソニーは完全否定)
この報道ではまた、暗号解析方法を発見した研究者らは、その旨を情報処理推進機構(IPA)に連絡し、IPAも暗号が破られたことを確認したと「みられる」としていた。
この点に関しIPAは、「情報が提供されたのは事実。しかしIPAには、ハードウェアの脆弱性について対応する権限や検証のキャパシティがないため、情報は受け付けていない。したがって、脆弱性の有無についても検証していない」(IPAセキュリティセンター長の三角育生氏)と回答した。ただ、情報自体は経済産業省に伝えたという。
当初の記事における指摘は、具体的かつ合理的な説明に欠ける(*注)。とはいえ今後、本当にICカードや携帯電話、デジタル家電といった組み込み機器に脆弱性が発見され、悪用される可能性は否定できない。むしろ、PCで利用されているソフトウェアやWebアプリケーションの状況を考えると、脆弱性が出てこない方がおかしいくらいだろう。
三角氏も「組み込み機器のセキュリティ問題については懸念している」と述べている。
●組み込みのセキュリティはPCの歴史の繰り返し?
実際、組み込み機器に脆弱性が存在しないわけではない。組み込み機器に搭載されている「ソフトウェア」の脆弱性はIPAにも幾つか報告されている。また住商情報システムの調べによれば、組み込み機器のソフトウェアの脆弱性を狙ったExploit(攻撃コード)も増加している。
セキュリティ企業、米eEye Digital Securityのシニアソフトウェアエンジニア、鵜飼裕司氏は、組み込み機器のセキュリティは「一言で言えば、二極化している状況」だとコメントした。
同氏によると、少なくともファームウェアについては、PC用のOSやアプリケーションで積み上げられてきたノウハウを活用することが可能だという。このため、「設計から実装にいたるまで、PCなどで積み上げられているセキュリティに関するノウハウがシッカリ生かされている製品であれば」(同氏)、PC用のソフトウェアと同程度の安全性があると言えるという。
一方で「全体的な傾向で見ると、組み込みシステムは脆弱であるケースが多いというのが現状」だという。
(関連記事:「コードはセキュアになった。でも……」)
「PCなどでは数年前に消滅したといっても過言ではないような古典的な脆弱性がいまだに多く見受けられる。パッチ適用率も低く、またベンダーの修正やアナウンスも十分ではないなど、まさに、PCの歴史を繰り返しているという側面もある」(鵜飼氏)
さらに、組み込みシステム独自の問題として、ハードウェアの設計に起因する脆弱性も挙げられるとした。
「例えば、回路に多少手を加えることで何らかの保護機構を簡単にバイパスできてしまったり、本来隠しておきたいデータがロジックアナライザーやJTAGエミュレーターで解析できてしまったりといった問題がある」(同氏)。これが、システムの性質や用途によっては致命的な問題となる可能性があるという。
「ハードウェア設計のセキュリティに関しても、ファームウェア同様、二極化が進んでいる」(鵜飼氏)
●組み込み機器のハードウェアは脆弱性届出制度の「枠外」
PCのOSやアプリケーションの世界では数年前から、脆弱性情報の開示はどうあるべきかという議論を重ねながら(今もなお続いている)、一定のルールができあがってきた。現在では、ユーザーをいたずらに危険や不安にさらすことのないよう、まずベンダーにその旨を届け、対策を用意してから足並みをそろえて情報を公開するという「責任ある開示」が求められるようになっている。
当初問題となった記事では、こうした詳細に踏み込んでの記述はなかった。かろうじて、ハードウェアを物理的に破壊し、ICチップを露出させる旨の記述があるが、これも、どういった情報の読み取りと改変が可能であり、どのように悪用される可能性があるのかについての説明はない。
それを受けて国内では、経済産業省の告示に基づき、「情報セキュリティ早期警戒パートナーシップ」制度が2004年7月から運用されてきた。
(関連記事:脆弱性情報の取り扱い、次の検討課題はシステムインテグレータの関与)
この制度は、ソフトウェアやWebアプリケーションに存在する脆弱性情報の届出から検証、複数ベンダー間の調整や対応、対策方法と合わせた公表にいたるまでの枠組みを定めたものだ。対応策とともに脆弱性情報を公表することによって、悪用を避け、対応を後押しすることを狙っている。間にIPAやJPCERT/CCという調整役を加えることで、ベンダーが情報を黙殺してユーザーを危険な状態に置いたり、あるいは根拠のない非脆弱性情報を流布して不安に陥れるといった事態を防ぐことができる。
しかしこのスキームが適用されるのは、ソフトウェアおよびWebアプリケーションの脆弱性のみ。組み込み機器のハードウェアについては今のところ枠外だ。ユーザーの保護と適切な情報公開を実現するため、脆弱性の発見と届出、修正をどのように進めていくべきかについて、関係者間でのコンセンサスもできあがっていない。
しかも組み込み機器に特有の課題もある。例えば、ハードウェアの物理的な破壊に関する検証も行うとなると、専用の装置や技術が必要だ。これまでのソフトウェア脆弱性の検証、再現作業とは異なる困難がつきまとうことになる。
また修正についても、「ソフトウェアの場合はパッチを当てればいいが、ハードウェアの場合は、脆弱性解消のスキームをどう組み立てるか非常に難しい。インターネットを通じてソフトウェアを配布すれば済む問題ではなく、製品回収などの手段が必要になる。また組み込み機器は、PCのユーザーだけでなく、ごく普通の人が使うもの。このため、いったいどうしたらいいか分からない人も多く出てくる」(三角氏)
●まずははじめから安全な開発を
ユーザーを守るためにまずできることは、組み込み機器をはじめから安全に開発していくための手法を浸透させていくことだと三角氏は述べる。
「セキュリティははじめから考慮しておくべき。あとから事後処理を行おうとすると大変なことになる」と三角氏は述べ、IPAで提供している「組み込みソフトウェアのセキュリティ」といった文書を通じて、安全に組み込み機器を開発するための手法を周知していきたいとした。
また鵜飼氏も、「実社会への影響を考慮した組み込みシステムのセキュリティ脆弱性脅威分析手法の確立や、安全な組み込みシステムの開発手法に関する研究、教育、啓もう活動などが当面の重要課題になると思う」とコメントしている。
鵜飼氏によると米国では、「Responsible Disclosure」(責任ある開示)にのっとり、発見者がベンダーに詳細情報を直接報告するのが一般的という。
「日本では、一般のソフトウェアについてはIPAが脆弱性届出の窓口として定着しており、大きな成果を上げている。しかし残念なことに、組み込みシステムの脆弱性届出窓口としてはまだ機能していない」と鵜飼氏。組み込み機器に対する脆弱性報告は今後も増えると思われることから、体制の確立は急務であると述べている。
ソフトウェアの脆弱性については、ユーザーを危険から守るため、セキュリティ研究者とベンダーにできることは何かという議論の末、現在の届出制度ができあがってきた。より多くの、幅広いユーザーに影響を及ぼす恐れのある組み込み機器全般のセキュリティ問題についても同様に、議論する時期が来ているのかもしれない。
なおIPAでは、ISO/IEC 19790に沿って暗号アルゴリズムが適切に実装されているかどうかを確認する「暗号モジュール試験及び認証制度」という仕組みを2007年春をめどに開始する予定だ。ただし、この試験は開発者もしくはシステム調達側の申し出に基づき実施されるものになるという。
*注 「暗号を破る」ことの議論においては、どんな暗号方式やアルゴリズムを使っているかもさることながら、どういった部分にどのように実装されているか、システム全体として検証することが非常に重要になる。例えばMD5やSHA-1といったハッシュアルゴリズムについては、以前からコリジョンが指摘されているが、実装によってそのリスクをある程度抑えることができる。逆にいくら「暗号化しています」という記述があっても、過去幾つかのWebサイトで見られたように、意味のない場所で使っていては実効性がない。
http://www.itmedia.co.jp/enterprise/
http://headlines.yahoo.co.jp/hl?a=20061227-00000020-zdn_ep-sci