自動車、ホームルーター、チケット発券機――脅威からどう守る？：セキュリティ業界、1440度（13）（1/2 ページ）

連載目次

　2014年12月18日、19日の2日間、東京で情報セキュリティの国際カンファレンス「CODE BLUE 2014」が開催されました。CODE BLUEは2013年から始まった、日本発の専門家向けカンファレンスです。2回目である今回、スピーカーとして参加してきましたので、会場の様子や興味深いと思った講演についてご報告しようと思います。

ハック対象になる「自動車」、脆弱性の実証と対策をどうすべきか

　第2回目のCODE BLUEは御茶ノ水にあるソラシティカンファレンスセンターで行われました。参加者はおよそ450人で、前回を上回る盛況ぶりでした。発表が行われるカンファレンスホールはとても広いのですが、1日目の基調講演の開始前にほとんどの席が埋まっていました。

　最初に、私の講演について簡単に紹介します。私はイータスの岡氏と共同で「TriCoreで動作する自動車用ECUソフトの攻撃手法に関する検討と試行」という講演を行い、自動車のエンジンを電子制御する「エンジンコントロールユニット（ECU）ソフト」に脆弱性が存在した場合に、それが攻撃可能かどうかについて発表しました。

　公開情報から、インフィニオンテクノロジーズのCPUコア「TriCore」というマイコンの仕様を調べ、メモリを破壊する脆弱性をどのように攻撃するか検討した結果、このマイコン独自のコンテキスト管理領域の書き換えが1つの攻撃方法として考えられることを説明しました。講演では評価ボードを用いたデモを実施し、ECUソフトへの攻撃はまだ実際の脅威にはなっていませんが、攻撃手法を考えることはできるということを示しました。今後、実際のECUソフトの脆弱性が発見される可能性がありますが、PCやスマートフォンなどと違って、脆弱性の実証と対策が簡単にできない点が懸念点だといえます。

物理セキュリティ、組み込みセキュリティのいま

　続いて、興味深かったいくつかの講演を紹介しましょう。

　まず、インバー・ラズ（Inbar Raz）氏による講演「物理セキュリティ：サイバーセキュリティがすべてではない」を紹介します。近年、公共の場所に存在するさまざまな機器がインターネットに接続されるようになっていますが、それらに対する攻撃は、必ずしもネットワーク経由だけではなく、物理的なアクセスによる手法があるということを再認識させられる発表でした。

　本発表では、映画館の発券機やキオスク端末、空港ロビーに設置されたPC端末について、物理インタフェースを介した侵入例が示されました。物理インターフェースとして利用者に解放されているタッチパネル、USBポート、LANポート、リセットボタンなどを駆使することで、端末内部に保存された重要な情報（クレジットカード番号や暗号鍵など）にアクセス可能であるという事例が紹介されました。

　特に、発券機の内部に保存されているクレジットカード番号を見つけ出し、発券機そのものでプリントする例はインパクトがありました。CODE BLUEの会場のネットワークの物理セキュリティについても調査しようとしたという話で会場を沸かせていました。

　この講演を通して、サイバーセキュリティと物理セキュリティは切り離して考えるのではなく、両方を合わせて考える必要があると感じました。日本は海外に比べて治安が良いですが、ネットワークに接続される機器が今後さらに増え続ければ、物理セキュリティを破る犯罪行為も増えることが懸念されます。