家電もマルウェアに感染する時代――脅威の今を探る:情報家電のセキュリティリスクと対策(2/2 ページ)
製造段階で侵入するマルウェア
今度は、情報家電の製造時における不正プログラムの混入事例をみてみよう。不正プログラムの混入事例は、不正プログラム自体の攻撃に比べて実例が多く、製品を購入したユーザーはもちろん、メーカーにとっても製品回収のためのコストや風評被害などの大きなリスクが付きまとう脅威だ。
実際にMP3プレーヤーやデジタルフォトフレーム、カーナビゲーションなどで、不正プログラムの混入が発生した。例えば、某大手外食関連企業ではキャンペーンの賞品として配布したMP3プレーヤーに不正プログラムが混入していた。混入した不正プログラムは、「WORM_QQPASS.ADH」というワームであり、USBなどのリムーバブルメディア経由で感染を広げるものだった。企業側は、当選者全員に電話やメール、Webサイトなどを通じて連絡し、配布した約1万台を回収して、再配布することになったのである。
デジタルフォトフレームやデジタルフォトビューアーは、デジタルカメラで撮影した画像を家族で楽しめる機器として市場が拡大しているが、このデジタルフォトフレームにも不正プログラムが混入していた事例が国内外で複数報告されている。このケースでも、リムーバブルドライブを通じて感染を拡大するワーム型不正プログラム「WORM_DELF.EFF」が混入していた。さらにはデジタルフォトフレーム向けのダウンロードソフト自体に不正プログラムが混入していたケースも見つかっている。
カーナビゲーションへの不正プログラム混入では、某大手メーカーから発売されたポータブル型製品に「WORM_GOOMHTTP.DS」という不正プログラムが混入していた。ほかのメーカー製品でも不正プログラムが混入していた事例が報告されている。
これら以外にも工場出荷時点で製品に不正プログラムが混入している事例は、報道されているものを確認しただけでも20例を超える。これらの事例では、ユーザー側の被害だけでなく、メーカー側もインシデント対応によるコスト増大、企業の信頼性低下など大きな被害が発生した。不正プログラム混入事例の特徴には、ある特定のロットの製造番号(ZZ000001〜ZZ010000など)に混入しているケースがみられる。これは特定の製造プロセスにおいて何らかの問題が発生し、そこで不正プログラムが混入したことを示している。メーカー側は、セキュリティの観点から製造プロセスを見直し、工場出荷前のセキュリティ検査などを十分に実施するなどの対策をとることで、これらのリスクを最小限にし、ユーザーへの実被害や、回収および情報伝達などにかかるコストを未然に防ぐことができる。
フルブラウザの利用では、例えばネットワーク接続機能を持ったデジタルテレビなどが代表的だ。これらのテレビはフルブラウザを搭載することにより、YouTubeなどの動画共有サイトや、FacebookといったSNSサイト、写真共有サイトなどのインターネットのコンテンツをテレビ端末だけで家族が楽しめるものだ。しかし、このような使い方はまさにPCにおけるオープン環境と同じものであり、オープンなコンテンツを自由に楽しめる一方で、PCとほぼ同等のセキュリティ脅威にさらさられていると言えよう。
フルブラウジングにおけるWebからの脅威には2種類あり、不正プログラムのようなコードベースの脅威と、ワンクリック詐欺のようなテキストベースの脅威がある。前者の脅威は機器が不正プログラムの踏み台にされるなどの被害を引き起こす可能性があり、後者の脅威は主に個人情報の漏えいなどをもたらすため、十分に対策を講じる必要があるだろう。また、テレビは家庭のリビングで子供たちも利用するため、教育上好ましくないサイトを防ぐようなペアレンタルコントロールも検討すべき対策方法になる。
情報家電における対策
これらの脅威が現実的に発生していながらも、ユーザーは情報家電をあくまで「家電」として認識し、さまざまな脅威にさらされたオープン環境にある「コンピュータ」とは認識していない。また、これらの情報家電の利用者は、コンピュータなどの専門知識を持たない人も多い。今後はユーザーだけでなく、メーカー、セキュリティベンダー、通信キャリアなど、関連する業界のそれぞれがセキュリティ対策の重要性を認識し、包括的な対策を講じていく必要がある。
情報家電におけるセキュリティ対策として考慮すべきことは、「プロダクトライフサイクル」「プロセスごとの脅威の原因」「関係団体の関わり」(ここでいうプロダクトライフサイクルとは、特定製品が設計され、製造、販売等を経て廃棄されるまでのプロセスを指している)の3つだ。
情報家電のセキュリティ脅威の発生は、運用段階などある特定のフェーズで発生しているわけではなく、情報家電のプロダクトライフサイクル、つまり、企画、設計、開発、製造、運用、廃棄、再利用というプロセスごとに脅威の発生原因があり、各プロセスの原因ごとに対策が必要である。また、各プロセスで関係者が異なるという点も考慮しなければならない。プロダクトライフサイクルのプロセスごとに脅威の原因を洗い出し、そのプロセスごとの対策を、そのプロセスで関わる人、組織により、体系的に実行されることが必要である。
これらのポイントを踏まえ、次回は情報家電のセキュリティ対策における全体フレームワークとその詳細を提示しよう。(連載の3回目は2010年1月以降に掲載いたします。)
執筆者プロフィール
トレンドマイクロ株式会社事業開発部 部長。大手OA機器メーカーにて、営業およびマーケティングを経験後、米国に留学。経営学および情報技術科学の修士号を取得後、外資系コンサルティング会社にて、製造や通信、放送業界を中心に、事業戦略、事業開発、業務改革等のビジネスコンサルティングに従事。現在はトレンドマイクロ株式会社事業開発部の部長として、ビジネス/テクノロジーイノベーションによるグローバルな事業機会探索、開発、運営を担当する。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
オープンモデルがもたらす家電の脅威
最近はテレビやゲーム機といったさまざまな家電がネットワークに接続して、付加価値の高いサービスを提供するようになった。ユーザーの利便性が高まる一方で、こうした情報家電のセキュリティは考慮されているだろうか。今回はセキュリティの脅威が高まる背景を考察する。
米国版プレステサイトに不正コード混入
米国版プレイステーションサイトに不正コードが仕掛けられていたとSophosが報告。
ピクチャーフレームに製造工程でウイルス混入
米Insigniaは、デジタルピクチャーフレームの製造工程でウイルスが混入していたことを明らかにした。
「Eee Box」にウイルス 無償交換へ
ASUSは、2日に出荷した小型デスクトップPC「Eee Box」がウイルスに感染していたと発表した。全商品を無償で回収・交換する。
日本ビクター、販促用USBメモリの一部にウイルスが混入
販売促進用に配布していたストラップ型のUSBメモリ1015個の一部にウイルスが混入していたとして、日本ビクターは注意を喚起している。PCに挿入すると、オンラインゲームのIDやパスワードが抜き取られる恐れがある。
ネット家電に潜むセキュリティホール
とあるサイトへの“攻撃”に、東芝のハイブリッドレコーダー「RD-Style」シリーズが踏み台にされる、という事件があった。PCではセキュリティに注意を払うユーザーでも、“家電”となると、その危険性を忘れがちになる。今回は図らずもその点を浮き彫りにする結果になった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。