以前のコラムでも、ロシアのセキュリティ企業、KasperskyでICS CERTのリサーチャーを務めるウラジーミル・ダーシェンコ氏が、「IoTや制御機器のベンダーは脆弱性に関する報告をもらっても反発したり、無視したりで、脆弱性報告を受け付けて確認し、開発側に共有するプロセスを整備している企業はほんのわずか」と発言していたことを紹介しました。同氏によると、脆弱性を指摘された企業が最初に取る態度は「否定(無視)」や「怒り」なのだそうで、これは洋の東西を問わない問題なのかもしれません。
製品やサービスに脆弱性があること自体は、仕方のないことだと思います。できるだけ減らす努力をするのは当たり前ですが、ソフトウェアである以上、バグや脆弱性を完全にゼロにすることは不可能です。だからこそ、それを前提に、脆弱性に対応するプロセスを整備していくことが必要なのではないでしょうか。
Tapiaのケースでは、指摘してから90日間、NFC関連の問題は修正されない状態で運用されていました。H.I.S.ホテルホールディングスは「悪用はない」と説明しており、そうであれば何よりなのですが、本当に悪意ある攻撃者が同じように問題を発見していたら、90日間どころかずっと黙ってこの脆弱性を悪用していたのではないでしょうか。この脆弱性はローカルにアクセスできないと悪用できない問題ではありますが、宿泊客とはいえ、不特定多数が利用する環境ではリスクは高いと考えられます。
セキュリティを軽視したままサービス設計・実装を進め、実害が生じて撤退を余儀なくされたケースは、ごく最近もあったばかりです。利用者の安全を重視するならば、労力はかかりますが、一般的な脆弱性情報はもちろん、指摘へのアンテナを高くすることが重要ではないでしょうか。
もし、内容を理解できないのであれば相談できる専門家(といっても、最近は「自称」専門家も増えているようですが)とのつながりを作ったり、脆弱性情報を取り扱う情報処理推進機構(IPA)やJPCERTコーディネーションセンター(JPCERT/CC)のような組織との連携体制を整えておくことも大切です。
ただ、セキュリティ組織の関係者に聞いた笑い話があります。脆弱性報告を基に企業にコンタクトを取って電話しても、ベンダーの売り込みと間違えられて「いや、セキュリティは間に合ってます」と、最初は取り合ってもらえなかったとか……まだまだ、脆弱性情報の扱いに関する成熟度は低いのかもしれません。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR