海の向こうのIoTとそのリスク（前編）　 記事『IoTとデジタル・フォレンジック』第8回

「言いたい放題！」セキュリティチャンネル @HHNewsReports

海の向こうのIoTとそのリスク（前編） ――『IoTとデジタル・フォレンジック』　第8回 　 #サイバー攻撃　#IoT #サイバー犯罪　#デジタルフォレンジック　#セキュリティ　#M2M pic.twitter.com/bxiCqxqJE7

拡大

「言いたい放題！」セキュリティチャンネル @HHNewsReports

1 2015年12月に行われたデジタル・フォレンジック・コミュニティ。メトロポリタン州立大学情報計算機学部のジガン・リュウ氏(写真）が海外におけるIoTとそのリスクについて講演を行った。#サイバー攻撃　#IoT #サイバー犯罪　#デジタルフォレンジック　#セキュリティ　#M2M

「言いたい放題！」セキュリティチャンネル @HHNewsReports

2 リュウ氏は2013年に起きたトレンドネット（TRENDnet）のインシデントについて言及した。同社はワイヤレス関連の製造企業で米カリフォルニア州にある。赤ちゃんや家庭の様子を見守るワイヤレスカメラを製造する。 #サイバー攻撃　#IoT #サイバー犯罪　#米国　#セキュリティ

「言いたい放題！」セキュリティチャンネル @HHNewsReports

3 2013年、米連邦取引委員会がこのトレンドネットを提訴した。同社のワイヤレスカメラがリーズナブルでしっかりしたセキュリティを提供していないという理由。結果的にハッカーがアタックしやすかったことが問題となった。　#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#M2M

「言いたい放題！」セキュリティチャンネル @HHNewsReports

4 詳しくみるとそのハッカーは700台のワイヤレスカメラに対して、ハッキングを試み、ネットにリンクを貼っていった。結果として全く関係ない他者が、赤ちゃんの映像などを見られるようになってしまったわけだ。　#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#M2M　#米国

「言いたい放題！」セキュリティチャンネル @HHNewsReports

5 加えて、トレンドネットのITカメラの設置について、カスタマーがきちんとしたログイン要件を満たしてオンにしなければならないところを、オフにしたままで使うことが容認されていた。そのためITカメラで撮影されたものが公開されてしまったわけだ。#サイバー攻撃　#IoT 　#セキュリティ

「言いたい放題！」セキュリティチャンネル @HHNewsReports

6 今回のケースは金銭的・財務的な損失にはつながらなかったため、最終的に和解というかなり順当な結果に終わった。しかし普通であれば1違反ごとにおよそ1万6000ドル相当の課徴金などが科されるかもしれない。700台ものITカメラとなると、さらに多額な価格が科せられるかもしれないのだ。

「言いたい放題！」セキュリティチャンネル @HHNewsReports

7 今回紹介した事例で、リュウ氏は「IoTの世界ではなんでもあり」というのを伝えたかったのだという。つまりスマートカー・スマートフォン・スマートハウスなどあらゆるものがIoTデバイスとして使われる以上、こういった一面では深刻な事案に発展しうるというわけだ。#IoT　#セキュリティ

「言いたい放題！」セキュリティチャンネル @HHNewsReports

8 適切な手順を踏まない場合、安全性というものを担保しなければならない。しかし今回の事例のようにカスタマー側が手順をとらないこともありうる。それをきちんと要件づける必要があるというわけだ。#サイバー攻撃　#IoT #サイバー犯罪　#デジタルフォレンジック　#セキュリティ　#M2M

「言いたい放題！」セキュリティチャンネル @HHNewsReports

9 さらにリュウ氏は2015年に発生したフォルクスワーゲン（VW）社の不正の事例を挙げた。この事例は同社が米国の排ガスの基準を不正に逃れたため、一部同社の車種の販売が米国で禁止されたという事例だ。#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#M2M　#米国　#VW

「言いたい放題！」セキュリティチャンネル @HHNewsReports

10 一般的には自動車メーカーがつくる車両は試験場でエンジンをスタートし車を始動させる。その際きちんと車に搭載されている排出システムが基準内での排出量にとどまる形で機能しているかどうかを試験する。#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#M2M　#VW　#米国

「言いたい放題！」セキュリティチャンネル @HHNewsReports

ここで閑話休題【広告】サイバー攻撃対策といえばホワイトリストで確実にウイルスをDeP（Defense Platform）が有効です。ぜひ無償版をお試しください！→DePスマホサイト goo.gl/EML64H pic.twitter.com/aWHwIqLg20

拡大

「言いたい放題！」セキュリティチャンネル @HHNewsReports

11 しかしVWのケースは、車の試験中に排出削減装置というものを稼働させ、排出量を削減し、試験に合格するようにするといったものだった。そのため実際に車両を路上走行させると、その排出量は基準の30倍程度にもなり、それが大きな問題となった。#サイバー攻撃　#IoT #セキュリティ

「言いたい放題！」セキュリティチャンネル @HHNewsReports

12 このケースだが、もともとウエストバージニア大学がおよそ5万ドルの助成金を得られるプロジェクトに応募。対象となる州を選び、研究を進めたことに端を発する。VWのパフォーマンスが1ガロンあたり45マイルというような抜群の走行性能を発揮し、試験場内の全ての車種は試験をパスしていた。

「言いたい放題！」セキュリティチャンネル @HHNewsReports

13 しかしロスからサンフランシスコまでおよそ2500マイルというような長距離を走行させたところ、非常に深刻な排出汚染が発覚した。結果ウエストバージニア大学は違法なソフトが使われているのではと疑い、実際そうだったことがわかった。　#サイバー攻撃　#IoT #セキュリティ　#M2M

「言いたい放題！」セキュリティチャンネル @HHNewsReports

14 その後2年が経過し、2015年になってようやく違反通告を出された。不正ソフトは車両に内蔵されていているため、公開するのは知財問題の関係で難しい。そのため、一端不正だと思っても発覚するまでこれだけの歳月を要した形になる。#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ

「言いたい放題！」セキュリティチャンネル @HHNewsReports

15 今後IoTがどんどんと普及するにつれてこういった類の危険が増加することが予想されるとリュウ氏は語る。すなわち自分の人間の体内に組込むペースメーカーのようなものを体内に入れる際に起こったらどうなのかということだ。#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#米国

「言いたい放題！」セキュリティチャンネル @HHNewsReports

16 我々が対処していかなければいけない問題というのは、サイバー攻撃やデータの改ざんだ。今後、人との情報の共有が進むことで、様々な個人情報が他と共有されてしまうということが出てくるだろう。#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#米国　#個人情報　#情報漏えい

「言いたい放題！」セキュリティチャンネル @HHNewsReports

17 実際にコンピュータが我々に「語る」ことで我々が不利になっていくこともある。例えばエアコンから「あなたはここにいたんですよ」ということが分かるという具合にだ。サイバーフィジカルな攻撃が、もはや我々のコントロールが及ばなくなりつつある。　#サイバー攻撃　#IoT #サイバー犯罪

「言いたい放題！」セキュリティチャンネル @HHNewsReports

18 それ以外にもクラウドコンピューティングがどんどん普及するにつれて、必ず情報の所在はローカルではないということが大いに出てくる。その情報が別の国にあるということも当然多くなるわけだ。　#サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#米国　#個人情報　#情報漏えい

「言いたい放題！」セキュリティチャンネル @HHNewsReports

19 もちろん犯行現場でセンサーからの重要なシグナルが現場にあった車両からのセンサーだったということも起こりうる。米国では動いている車から様々な情報が洩れるというケースが見られるようになっているという。 #サイバー攻撃　#IoT #サイバー犯罪　#セキュリティ　#米国　#個人情報

「言いたい放題！」セキュリティチャンネル @HHNewsReports

20 前編はここまで。続きは「海の向こうのIoTとそのリスク・後編」にて。IoT時代だからこそ、より説得力を増してくるデジタル・フォレンジック。後編はIoTのリスクについて米国の法制度などに触れながら紹介したいと思います。#サイバー攻撃　#IoT #セキュリティ #サイバー犯罪