このページの本文へ

自動車、医療機器など、IoT化が進む業界とのパートナーシップを醸成する

脆弱性の「責任ある開示」を他業界でも、マカフィー担当者に聞く

2018年12月10日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 「責任ある開示」(Responsible Disclosure)とは、セキュリティリサーチャーなどが製品やサービスの脆弱性を発見した際に、まずはそのメーカー/ベンダー側に詳細を報告し、修正パッチのリリースなど何らかの対策が取られた後で脆弱性情報を開示するという取り組みだ。

 対策が取られる前に脆弱性情報を開示するのは攻撃者に“格好の標的”を教えるようなものであり、脆弱性を発見した場合には慎重にその情報を取り扱う責任が強く求められる。 一方で報告を受けたメーカー側にも、いち早くその脆弱性を修正してユーザーを保護する責任がある。

 ソフトウェアやWebサービスの世界では当たり前になってきた「責任ある開示」の取り組みだが、ネットワーク接続されたIoTデバイスが身の回りに増える中で、これからは他業界でも必要となるはずだ。その取り組みの輪を他業界にも拡大すべく、マカフィーでは積極的な働きかけを行っているという。今回は同社 Advanced Threat Research(ATR)チームの責任者であるスティーブ・ポヴォルニー氏に、その重要さや取り組みの現状、課題などを聞いた。

米国マカフィーでAdvanced Threat Researchチーム(ATRチーム)の責任者を務めるスティーブ・ポヴォルニー氏

脆弱性情報の「責任ある開示」をプロセス化、一方で理解を得る難しさも

 マカフィーは2015年に一度インテルに買収され、その2年後の2017年に再度独立(分社化)した。そうした組織再編のあおりを受けて機能不全に陥った部門の1つが、ボヴォルニー氏が率いるATRチームだったという。分社化後の昨年(2017年)は「チームの再生と改善に尽力する日々だった」と、ボヴォルニー氏は明かす。

マカフィー Advanced Threat Research(ATR)チームの役割

 そうした難しい状況下においても、ATRチームでは「責任ある開示」の方法を標準化する作業に注力してきたという。具体的には、従来からの取り組みを一歩進め、調査結果や知見を積極的に業界と共有する方向へと軌道修正した。今年(2018年)7月にはそのガイドラインも公開し、他業界とのパートナーシップを醸成しながら脆弱性や脅威リスクに対応していく枠組みを作った。

 ただし、「相手の動きに合わせる」協調策だけをとるわけではないという。

 「何よりもまず『脆弱性を修正すること』が重要であり、その対策をサポートするのがわたしたちの責任だ。ただし、メーカーに脆弱性を報告しても、報告が軽視されたり必要以上に対策が遅れたりすれば、脆弱性に気付いた攻撃者にエクスプロイトを作成する時間を与え、攻撃発生リスクが高まることになる。そうした事態を避けるのもまたわたしたちの責任だ。この場合には脆弱性の存在を公表し、業界全体に対策を働きかけることになる」

 こうした理由から、マカフィーではソフトウェアについては90日または120日以内、ハードウェアについては180日以内の開示を義務づけている。それをこころよく思わないメーカーも少なくなく、「理解を得るのが難しいときもある」とボヴォルニー氏は明かす。それでも、メーカーはユーザーが安心して利用できる製品/サービスの提供に、セキュリティ業界は脅威の増大を食い止めることにそれぞれ責任を持ち、前向きな取り組みを進めていくことが安心/安全につながると強く信じて取り組んでいると語った。

ネットワーク化された医療機器の脆弱性は人命に関わる危険もある

 今年8月にラスベガスで開催されたハッカーカンファレンス「DEF CON 26」において、ボヴォルニー氏らはこうした取り組みの成果を講演した。医療機関で利用されている臨床モニター製品の脆弱性だ。

ポヴォルニー氏は東京で開催されたマカフィーのプライベートカンファレンス「MPOWER」にも登壇した

 マカフィーATRチームが、ある臨床モニター製品(病室に設置される、患者の心拍数や酸素レベル、血圧などを監視する医療デバイス)と中央監視ステーション間の通信を調査したところ、その通信は暗号化されておらず、デバイス認証も設定されていないことがわかった。ARPスプーフィング攻撃(ARPプロトコルの応答を偽装してデバイス間通信を乗っ取る“なりすまし”攻撃)を実行すると、偽の臨床モニターから改竄した心拍数データを中央監視ステーションに送ることができた。

 「臨床モニターから送られたデータは中央監視ステーションでログ記録され、医師が診療に使うことになる。たとえば、心拍数が激しく乱れたような偽データを何度か送信してログに記録させれば、それを見た医師は『不整脈が断続的に発生している』と診断し、米国心臓協会などのガイドラインに従って患者が本来は必要としていない投薬を指示する。つまりこのサイバー攻撃によって、結果的に患者が死亡する可能性すらある」

 ボヴォルニー氏は「現実にはこうした攻撃が起こることは極めてまれだ」としながらも、基本的なセキュリティ対策すらできていない医療機器メーカーや医療機関に対して警鐘を鳴らすことは大事だと述べる。この問題についてはすでに当該の医療機器メーカーに報告済みであり、医療業界内でもデータの暗号化やデバイス認証といったセキュリティ対策の遅れが徐々に認識されつつある。

 ただし、医療機器メーカー側ではサイバー攻撃対策の実施責任は医療機関側にあると考え、一方の医療機関側はそうした問題を認識できていないという状況もまだあるという。また、たとえ攻撃の脅威を認識していても対策予算がない、という別の問題もあるのが現状のようだ。

サイバー攻撃のターゲット業界は拡大している

 ボヴォルニー氏はもうひとつ、半年ほど前に手術入院する娘に付き添って、ある病院の病室に行ったときの話をした。タッチスクリーン型のゲーム機が設置されているのを見つけた同氏は、さっそく画面の四隅をタップして、全画面表示されたウィンドウの下に隠れていたネットワーク設定画面を“引きずり出した”。すばらしいことに、その画面はパスワードで保護されていた。

 「でも、Googleで検索したらすぐにインストールマニュアルが見つかり、そこに書かれたデフォルトのパスワードを入力したら、臨床モニターもつながっている院内ネットワークが丸見えになった」

“デフォルトパスワード”のままで使われている身の回りのデバイスは想像以上に多いだろう

 病院に対してすぐに問題を報告し、最近になってようやく返事が来たものの、セキュリティが改善されたかどうかまではわからない。ボヴォルニー氏は、デフォルトパスワードからの変更、ネットワークのセグメント化、厳格なパッチ管理、エンドユーザーに対するセキュリティ教育など、まずは基本的なセキュリティ対策の実施を徹底すべきだとした。

 「もう何年も前から言われ続けている対策だが、それでも十分行き渡っていないのが現実かもしれない」

自動運転車の時代を見据え、部品メーカーとの戦略的提携も

 マカフィーATRチームでは今後、産業制御システム(SCADA/ICS)や自動車の脆弱性調査にフォーカスする予定だとボヴォルニー氏は答えた。いずれも業界大手企業との連携が現在進行中であり、たとえば自動車分野ではトヨタやダイムラーといった自動車メーカーだけでなく、センサーやネットワークなどの車載部品メーカーとも戦略的なセキュリティパートナーシップを結んで、情報共有と支援を行っているという。

 「攻撃者のターゲットは、すでに自動車本体から搭載部品へとシフトしている。これから5年、10年も経てば、わたしたちは完全な自動運転車や、ほとんどの部品がネット接続されたコネクテッドカーに乗ることになる。無数にある部品のどれか1つでも、ゼロデイ脆弱性が発見され悪用されたら、人命に関わる事故に発展する可能性がある」

マカフィーATRチームのこれまで、これから

 ボヴォルニー氏は、ATRチームの活動領域を広げながら、これまで以上に他業界も巻き込んだサイバーセキュリティの取り組みを推進していく方針だと語った。「トップレベルのセキュリティリサーチ組織として認めてもらえるよう、より一層努力したい」。

カテゴリートップへ

ピックアップ