ハードウェアの脆弱性(1)

サイバーレジリエンス
セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質を紹介します
 前回の記事からずいぶん時間が経ってしまいました。皆さんの会社ではGDPR対応は落ち着いたでしょうか。サイバー空間には国境はないとよく言われますが、「国境がないところでも、国民のプライバシを守る責務を果たそう」という欧州の良識と強い意志によってボーダーレス規制が導入された、歴史的な節目と言えるでしょう。この他にも、EUをはじめ各国・地域でサイバーセキュリティやプライバシを向上させるための規制が相次いで導入されています。

 さて本題に戻って、今回はハードウェアの脆弱性です。メルトダウン、スペクターについては今年1月から、連日の報道も落ち着き、「のど元過ぎれば熱さ忘れる」ですでに過去の事になっている人も多いと思いますが、ここでは、セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質について思いつくままに紹介したいと思います。
クラウドで脆さが露呈する
 そもそも、ハードウェア脆弱性がなぜこれほどまでに騒がれるのでしょうか。セキュリティ専門家でない皆さんにとっては「喉元過ぎれば.. 」かもしれませんが、じつはセキュリティ界隈ではハードウェア脆弱性の話題が今年1月以降、途切れることはありません。

 その理由はずばり、クラウド(パブリッククラウド)です。誤解を恐れずに単純化して言ってしまえば、

「クラウド × ハードウェア脆弱性 = 大問題」

 だということに、今年1月以降、多くの人が気付き始めています。だからメルトダウン攻撃が大々的に発表された時も、アメリカの大手クラウド事業者が「事前に教えてもらっていて、すでに手は打っていますよ」という火消しをやっていたのですね。

 ちなみにメルトダウン攻撃や、スペクター攻撃を発見した人たちはクラウドだけが問題だとは言っていません。不用意に怪しいウェブサイトを訪れた人が、ろくでもないJavaScriptを知らずのうちに実行してしまった場合、最悪のケースではWebブラウザが覚えているパスワードを盗まれるかもしれない、というデモをやってのけました。もちろんこの後、Windowsをはじめとする主要なOS、主要なブラウザではアップデートが提供されていますから、攻撃は格段に難しくなったと思います。
 メルトダウン攻撃はハードウェア脆弱性に注目を集める契機となりましたが、攻撃としては「別格」だったと言えます。その後もハードウェア脆弱性の発見が相次いでいますが、多くは「同じハードウェアを共用する場合にリスクがある」というものです。

 やっぱり良く分からない、という人もいると思うので、ここはひとつ、たとえ話をしましょう。オフィスビルに入居するときに、同じビルに同居する他のテナントさんがまともな人かどうか、というのは皆さん気にされると思います。上のフロアが反社会勢力だったら、どうでしょう。皆さん同じエレベータを共有されるでしょうか。
 クラウドもオフィスビルと同様に、テナントごとに隔離されている部分と、同居しているテナントと共用している部分があるわけです。インフラを共用しなかったら、そこまで安くはならないでしょう。問題はパブリッククラウドで、隣のテナントがまともな人である保証はない、ということです。
テナントが脆弱
 いやいや、約款をよく読んで下さいよ、そういう行為(サイバー攻撃)は約款で禁止されていますよ、とクラウド会社の営業さんは言うでしょう。確かに、明らかにサイバー攻撃を目的としてクラウド事業者と契約して、よそのテナントを攻撃しまくるような輩はすぐに訴追すべきです。じっさい、有名な攻撃ツールを動かしたら警告が入るのはいまや当たり前ですし、もし攻撃ツールを動かしてもなんの連絡もないのであれば、そんなクラウドからはすぐに逃げるべきでしょう。

 では、貴方のテナントはよほどしっかりしていて、隣のテナントに一切迷惑をかけないという絶対の自信はあるでしょうか。出入り業者に任せていたコンテナにデフォルトのパスワードがついていた、なんていうのは良くある話です。さて、そこから入られたとして、貴方のテナントを攻撃するのではなく、隣のテナントから気づかれないように情報を集めていたとしたらどうでしょう。

 ハードウェア脆弱性が恐ろしいのはここです。サイバー攻撃ツールを動かす必要すらありません。ハードウェアから漏れてくる情報(専門用語ではサイドチャネル情報と言われます)を毎日こつこつ集めるだけで、もしかするとある日、隣のテナントの秘密鍵が手に入るかもしれません。あるいは、隣のテナントの活動状況を知ることを目的とした攻撃もありえます。

 そんなあほな、攻撃するのに攻撃ツールが要らないなんてバカな話があるか、という呻き声が聞こえてきそうです。ここから先は専門的な話なので、ハードウェア脆弱性の論文を読みこなせない人には分からない領域だ、とだけ言っておきましょう。
 こういう、隣のテナントの動きをずっと観測することで情報が漏れる、という脆弱性はサイドチャネル脆弱性と言うのですが、これまでは一部の人たちだけしか気にしないマニアックな領域でした。私も気にしていませんでしたが、メルトダウン攻撃以降、クラウドやWebなど今日のインフラではサイドチャネル脆弱性が驚くほど容易だということに世の中が気付いてしまい、なかなかやっかいな状況です。個人的には、新しい脆弱性が出るたびに「事前に教えてもらっていて、すでに手は打っていますよ」と言えない日本のクラウド事業者は大丈夫なのかな、と案じている状況です。

 今回はこれくらいにしておきましょう。次回もハードウェアの脆弱性についてお話ししたいと思います。

■関連ページ
【アクセリアのサービス一覧】
 ・サービスNAVI

門林 雄基

アクセリア株式会社 主幹研究員
奈良先端科学技術大学院大学 先端科学技術研究科 教授
日欧国際共同研究「EUNITYプロジェクト」日本側研究代表
WIDEプロジェクトボードメンバー

◆crash.academyで動画講座公開中です。(動画視聴には会員登録が必要です。)
https://crash.academy/lecturer/kadobayashi