家電の脅威へ備えるセキュリティのフレームワーク〜その2:情報家電のセキュリティリスクと対策(2/2 ページ)
運用プロセス
「運用プロセス」は、完成した製品を市場に流通させ、ユーザーが情報家電本来の機能を実際に運用する段階である。企画から製造までは主としてメーカーが関係関与するプロセスだが、製品出荷後の運用プロセスからは、メーカーに加えて小売業者や通信業者、家庭における一般ユーザーも関係者(ステークホルダー)になる。多くのユーザーは小売業者を通じて情報家電を購入し、購入後は情報家電にユーザー自身の個人情報を登録する。これを利用して通信業者を介し画像、動画などの各種コンテンツやサービスを購入する。
運用プロセスにおける脅威は主に3つある。1つ目は、実際に情報家電を使い始めてから晒される不正プログラムの感染や外部からの攻撃である。情報家電に対する不正プログラムの感染経路には、フルブラウザを通じたインターネットなど外部ネットワークを経由するもの、PLCや無線LANといった内部ネットワークを経由するもの、そして、携帯電話やMP3プレーヤーなどのモバイル機器の持ち込みを経由するものが想定される。
これらの経路から不正プログラムに感染したり、攻撃を受けたりした端末は、コメントスパムなどの踏み台として利用される場合や、DoS(サービス妨害)、クロスサイトスクリプティングといった脆弱性を狙う攻撃、プラットフォームやアプリケーションの改ざんの対象となる。これらの攻撃は、製品そのものの脆弱性に起因している場合も多い。
2つ目はリバースエンジニアリングである。デバッガなどを利用して、情報家電の動作を直接解析することで情報家電のアーキテクチャを攻撃者が把握し、そこから攻撃につなげる可能性がある。3つ目は、フルブラウザを通じて子どもの教育に不適切なコンテンツが閲覧できてしまうことだ。フルブラウザを搭載するデジタルテレビやゲーム機器などは、フルブラウザを通じてPCと同じように自由にオープンコンテンツを楽しめる。家電は従来から家庭内に浸透しているものであり、子供にとっても、時間帯に左右されることなく使いやすい存在だ。これらの家電がインターネットにつながることで、アダルトや暴力といった保護者が子どもに見せたくないサイトも表示されてしまうため、適切な対策が必要となる。
これらのセキュリティ脅威に対しては、関係者ごとに適切な対策を実施すべきである。まず、不正プログラムの感染や攻撃には、メーカーが脆弱性などに関する修正プログラムやファームウェアアップデートを提供することが有効だ。最近のデジタルテレビやゲーム機器には修正プログラムやファームウェアを自動的に配信、更新する仕組みを備えているものがある。一部のデジタルテレビでは、放送電波を通じたプログラム配信の仕組みに対応する。情報家電はPCと違って、多くのユーザーがセキュリティに対する知識を持っているとは限らないため、ユーザーにセキュリティのための作業を徹底してもらうのが難しい。ファームの自動アップデートのように、ユーザーが意識することなく、セキュリティ対策が施される仕組みが望ましい。
また、製品の脆弱性情報などをユーザーへ伝達する仕組みも重要だ。メーカーは、脆弱性情報を収集する窓口を設置し、ユーザーへの伝達方法(自社Webサイト、電子メール、郵便はがきなど)を保持して、サポート体制を構築しておくなどの準備が必要である。
ユーザー側の対策は、製品購入後に個人情報を入力する際、工場出荷時の初期設定――、特にパスワードなど――を変更しておくことが有効である。不正プログラム対策は、PCでの知識をある程度活用できるため、情報セキュリティに関する知識が豊富なユーザーであれば、ホームルータのファイアウォール機能を使い、ポート80へのアクセス制御など、外部からの不必要なアクセスを遮断する環境設定を行うと良い。
またフルブラウザを通じたWebからの脅威に対して、不正なサイトへのアクセスを未然にブロックするWebレピュテーション技術を活用したソリューションもあるので、導入を検討してみると良い。このほかにもメーカーのWebサイトなどで、脆弱性情報やプラットフォームのアップデートなど、セキュリティに関する情報を定期的に収集していただきたい。小売業者や通信事業者が取るべき対策には、このようなセキュリティ情報の提供に関する協力やユーザーのセキュリティリテラシーを向上させる啓発活動などを期待したい。これにより、事業者の信頼性向上といった効果にもつながるだろう。
リバースエンジニアリングの脅威は運用プロセスで発生するが、その原因は開発時のデバッグ方法などにある場合が多い。開発プロセスの項で述べたように、開発の際に使用したデバッグ用端子/デバッグモードについて、開発段階で製品出荷後に再利用されない対策を講じておく必要がある。また、開発時には耐タンパー性の高いチップを採用することも有効だ。リバースエンジニアリングに対しては、特定製品への攻撃という観点からもメーカー側での十分な対策が必要である。
フルブラウザを搭載する情報家電は、上記の不正プログラムの感染や攻撃に加えて、子ども教育上好ましくないサイトへの対策が必要だ。この対策には最近の携帯電話などにも利用されているフィルタリング技術を利用したソリューションが有効である。情報家電向けにはPC向けフィルタリングソフトのような不正サイトの細かいカテゴリー設定ができるものよりは、例えば数段階の強度別設定や年齢別設定など簡単な設定で利用できるものが望ましい。セキュリティベンダーやポータルサイトからゲーム機器やデジタルテレビを対象にしたフィルタリングサービスが提供されているので参考にすると良いだろう。
次回は、「廃棄」および「再利用」のプロセスにおけるセキュリティ脅威と対策を取り上げ、情報家電におけるセキュリティ全体について総括する。
執筆者プロフィール
トレンドマイクロ株式会社事業開発部 部長。大手OA機器メーカーにて、営業およびマーケティングを経験後、米国に留学。経営学および情報技術科学の修士号を取得後、外資系コンサルティング会社にて、製造や通信、放送業界を中心に、事業戦略、事業開発、業務改革等のビジネスコンサルティングに従事。現在はトレンドマイクロ株式会社事業開発部の部長として、ビジネス/テクノロジーイノベーションによるグローバルな事業機会探索、開発、運営を担当する。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
家電の脅威へ備えるセキュリティのフレームワーク
情報家電にオープンモデルが採用されることでセキュリティ上のリスクが高まりつつある。今回は家電製品のライフサイクルに照らして、セキュリティ対策をいかに講じるべきについて掘り下げていこう。
オープンモデルがもたらす家電の脅威
最近はテレビやゲーム機といったさまざまな家電がネットワークに接続して、付加価値の高いサービスを提供するようになった。ユーザーの利便性が高まる一方で、こうした情報家電のセキュリティは考慮されているだろうか。今回はセキュリティの脅威が高まる背景を考察する。
家電もマルウェアに感染する時代――脅威の今を探る
家電製品の開発や機能、サービスにオープンモデルが採用されることで、さまざまなセキュリティの脅威に直面するようになった。今回は具体的な脅威を深く掘り下げながら、セキュリティ対策の方向性を示してみよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。