ハードウェアの脆弱性(2)-ハードウェア脆弱性対策がサプライチェーン・セキュリティを構成する一つの要素
スマホやパソコンを題材に、ハードウェアの脆弱性の性質を紹介します
(前回のコラム)
今回はスマホやパソコンを題材に、セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質について思いつくままに紹介したいと思います。
USB充電で脆弱
さて、皆さんのところの従業員が何の気なしに使っているUSB充電器、本当に安全でしょうか。最近、中国製のスマートフォンがどうの、と騒がしいですが、皆さんの隣の机にあるUSB充電器が日本製かどうか、即答できる人は少ないのではないでしょうか。
さて、USB充電器がなぜハードウェア脆弱性とつながるのか、という話をしましょう。じつは市販のアンドロイド搭載スマホのうち数機種では、USBポートからファームウェアをいじったり、電話をかけたりSMSを送ったり、APN設定を変えたりできます。パソコンにスマホを接続すると、スマホがモデムとして見えるのですが、今時そんなことを意識する人は稀でしょう。若い人たちは、テザリングなら分かるけどモデムって何?と言うかもしれません。
昨年夏、ある有名な国際会議で、このモデムの機能の一部(いわば隠し機能)としてファームウェアの更新やAPN設定の変更、画面のアンロックなどが出来てしまうことが指摘され、問題となりました。もちろんこういった隠し機能は機種依存のものも多く、全てのメーカーのスマートフォンの画面を自在にアンロックできるわけではないですが、いずれにせよUSBに繋いだだけでスマートフォンをアンロックされて、妙なアプリをインストールされる可能性が指摘されたこと自体、リスク情報として知っておいて損はないと思います。
とはいえ、「いやいや、俺は見ず知らずの人のパソコンにつないで充電なんてしないから大丈夫だよ」と多くの人は言うでしょう。
さらに問題を難しくしているのは、パソコン相当の機能をもつIoT機器がUSB充電器なみに小さく、3,000円以下で手に入ることです。
さて、あなたのUSB充電器の中身は大丈夫でしょうか。
「そういえばこれ、オークションで妙に安かったんだよね。。。」
ここから先のホラーストーリーはご想像にお任せしましょう。
偽部品で脆弱
小さなUSB充電器の中にバックドア機能をもつIoT機器を仕込むのは、さすがに難しいかもしれませんが、これがプリンターだったらどうでしょう。適度な大きさがあるので、中に小さい部品を忍ばせるぐらいのことは難しくなさそうです。
さて、プリンターに偽部品が入っていて、印刷する財務情報や企業戦略を片っ端から無線LAN で近くのビルに飛ばしていたらどうでしょうか。
だんだんスパイ小説みたいになってきましたが、多機能プリンターからの情報漏洩は日本で実際にあった話ですし(ネットワーク経由で誰でも読めるようになっていた)、プリンターに偽部品という話は海外のウェブサイトでは公然と語られているリスクシナリオです。
こういうリスクもあるので、重要情報を扱う拠点ではサプライチェーンに気をつけましょう、経由地不明の機器(オークション等の中古品や公共施設の機器など)は偽部品混入のリスクを考えて導入や接触を排除しましょう、というような運用を行うのはさほど難しくないと思われます。もちろんサプライチェーン・セキュリティはハードウェア脆弱性に限った話ではないので、ここではハードウェア脆弱性対策がサプライチェーン・セキュリティを構成する一つの要素である、ということだけ言っておきましょう。
今回はこれくらいにしておきましょう。次回もさまざまなバックドアについてお話ししたいと思います。
■関連ページ
【アクセリアのサービス一覧】
・サービスNAVI
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service