ハードウェアの脆弱性(2)

サイバーレジリエンス
スマホやパソコンを題材に、ハードウェアの脆弱性の性質を紹介します
 前回はクラウドを例として、ハードウェア脆弱性の性質について紹介しました。幸い我が社はクラウドを使っていないから大丈夫、という様子見一辺倒のレガシーユーザもいらっしゃるかもしれません。しかしさすがに、スマートフォンも使っていない、パソコンも使っていないという現場はさすがに少ないでしょう。
 (前回のコラム

 今回はスマホやパソコンを題材に、セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質について思いつくままに紹介したいと思います。
USB充電で脆弱
 ハードウェア脆弱性の筆頭は、じつは皆さんの従業員が使っているスマートフォンかもしれません。前回、「同じハードウェアを共用する場合にリスクがある」という話をしました。
 さて、皆さんのところの従業員が何の気なしに使っているUSB充電器、本当に安全でしょうか。最近、中国製のスマートフォンがどうの、と騒がしいですが、皆さんの隣の机にあるUSB充電器が日本製かどうか、即答できる人は少ないのではないでしょうか。

 さて、USB充電器がなぜハードウェア脆弱性とつながるのか、という話をしましょう。じつは市販のアンドロイド搭載スマホのうち数機種では、USBポートからファームウェアをいじったり、電話をかけたりSMSを送ったり、APN設定を変えたりできます。パソコンにスマホを接続すると、スマホがモデムとして見えるのですが、今時そんなことを意識する人は稀でしょう。若い人たちは、テザリングなら分かるけどモデムって何?と言うかもしれません。
 昨年夏、ある有名な国際会議で、このモデムの機能の一部(いわば隠し機能)としてファームウェアの更新やAPN設定の変更、画面のアンロックなどが出来てしまうことが指摘され、問題となりました。もちろんこういった隠し機能は機種依存のものも多く、全てのメーカーのスマートフォンの画面を自在にアンロックできるわけではないですが、いずれにせよUSBに繋いだだけでスマートフォンをアンロックされて、妙なアプリをインストールされる可能性が指摘されたこと自体、リスク情報として知っておいて損はないと思います。
 とはいえ、「いやいや、俺は見ず知らずの人のパソコンにつないで充電なんてしないから大丈夫だよ」と多くの人は言うでしょう。
 さらに問題を難しくしているのは、パソコン相当の機能をもつIoT機器がUSB充電器なみに小さく、3,000円以下で手に入ることです。

 さて、あなたのUSB充電器の中身は大丈夫でしょうか。

 「そういえばこれ、オークションで妙に安かったんだよね。。。」

 ここから先のホラーストーリーはご想像にお任せしましょう。
偽部品で脆弱
 ハードウェアの脆弱性で怖いのは、偽部品が混入することでしょう。さきほどのUSB充電器もひとつの例と考えることができます。おなじメーカーのUSB充電器を100個買った中に、1つだけ偽部品が混入したものがあったとしたらどうでしょう。重さを計って見たら妙に重い。分解してみたらビックリ。。というようなホラーストーリーはいくらでも考えることができます。

 小さなUSB充電器の中にバックドア機能をもつIoT機器を仕込むのは、さすがに難しいかもしれませんが、これがプリンターだったらどうでしょう。適度な大きさがあるので、中に小さい部品を忍ばせるぐらいのことは難しくなさそうです。
 さて、プリンターに偽部品が入っていて、印刷する財務情報や企業戦略を片っ端から無線LAN で近くのビルに飛ばしていたらどうでしょうか。
 だんだんスパイ小説みたいになってきましたが、多機能プリンターからの情報漏洩は日本で実際にあった話ですし(ネットワーク経由で誰でも読めるようになっていた)、プリンターに偽部品という話は海外のウェブサイトでは公然と語られているリスクシナリオです。
こういうリスクもあるので、重要情報を扱う拠点ではサプライチェーンに気をつけましょう、経由地不明の機器(オークション等の中古品や公共施設の機器など)は偽部品混入のリスクを考えて導入や接触を排除しましょう、というような運用を行うのはさほど難しくないと思われます。もちろんサプライチェーン・セキュリティはハードウェア脆弱性に限った話ではないので、ここではハードウェア脆弱性対策がサプライチェーン・セキュリティを構成する一つの要素である、ということだけ言っておきましょう。

 今回はこれくらいにしておきましょう。次回もさまざまなバックドアについてお話ししたいと思います。


■関連ページ
【アクセリアのサービス一覧】
 ・サービスNAVI

<<< 前の記事 | 一覧 | 次の記事 >>>

門林 雄基

アクセリア株式会社 主幹研究員
奈良先端科学技術大学院大学 先端科学技術研究科 教授
日欧国際共同研究「EUNITYプロジェクト」日本側研究代表
WIDEプロジェクトボードメンバー

◆crash.academyで動画講座公開中です。(動画視聴には会員登録が必要です。)
https://crash.academy/lecturer/kadobayashi