自動車のサイバーセキュリティ：多くの危険なIoTシステムの一つ

テクノロジーが発達するにつれて、それに伴うリスクも増加します。様々なものを自動化する技術には大きな注目が集まっていますが、自動化に潜むセキュリティ上のリスクについても考える必要があります。

テクノロジーは驚きの発達を遂げています。私たちは、今や、ハッカーによって単にデータが破壊されるだけではなく、寿命に直接的な影響を及ぼす極めて重要なシステムがハックされるかもしれない世界に住んでいます。言い換えるなら、邪悪な動機を持ったハッカーには、人を殺すことさえ可能です。この最後の文は、特にソーシャルメディアで「恐怖を煽るうまい言葉」でコメントしようと頭をひねる人たち向けのものです。筆者のことを心配し過ぎる警告者と思う人もいるでしょうが、決して空想科学の領域の話ではありません。ですが、IoTが生命にかかわるという話に入る前に、まずIoTの概要から見てみましょう。

IoT（モノのインターネット）の本質は接続されたデバイスのネットワークであり、デバイスの多くはWi-Fiに依存しています。ルーターで一般的に使用される暗号化されたセキュリティ・プロトコルの1つがWPA2です。このプロトコルには、ルーターとターゲットのデバイスとの間で交換されるすべてのデータを暗号解除するKRACK（Key Reinstallation AttaCK）への脆弱性があることが昨年の報告で判明しています。アクセスポイントやオペレーティングシステムのメーカーは、この脆弱性をついた攻撃を阻止するためのパッチを順次公開していますが、実際に自分の使用しているデバイスにパッチを適用する勤勉なユーザーがどれほどいるのか、疑問が残るところです。

これはまだよく状況が把握できていない、どこにでも遍在する脆弱性の１つの例に過ぎません。脆弱性は、犯罪者や悪意ある組織から指示を受ける人間によって利用されると、重大な被害をもたらす可能性があります。

リスクに直面しているIoTシステムとはどういうことでしょうか？ハッカーは殺人まで犯すのでしょうか？心配すべきでしょうか？

重大なリスク

IoT関連のリスクは、ほとんどがデータの損失または漏洩に対するものです。個人情報の盗難はこのような例の1つです。しかしながら、人の命を奪うような結果に結びつくリスクも存在します。これは慎重に考慮すべき領域です。国の基盤設備は、悪意ある人物がコントロールを掌握すると人命を奪ったり身体的傷害をもたらしたりする可能性のある明確な例です。発電所や上下水道、その他の重要なサービスが停止した場合を想像してみてください。人命への影響はいずれも間接的ですが、疾病が発生したり、治療ができなくなったり、原子力発電所でメルトダウンが発生するかもしれません。

データ損失や基本的公共サービスの問題とは無関係な、身体的障害を引き起こすリスクが存在する実用的な分野としてはどんなものがあるでしょうか。まず、臨床環境には、重大な投薬量を変更したり、バイオメトリック・データを変更して正確な診断を妨げる可能性のあるヘルスモニタリング・デバイスが組み込まれています。

そして、IoT進展が最も顕著なのは自動車分野でしょう。駐車時のアシストや自動運転などのために、現代の自動車は何千ものセンサー/コントローラとそれ自身のネットワーク（CANバス - コントローラエリアネットワーク）に接続されています。車内エンターテイメントから燃費まで、すべてが監視されています。

自動車のハッキング

ここでは、自動車ハッキングの可能性について詳述はしません。詳細に興味がある人はワシントンポストの記事やWiredのページを参照してください。他にも様々な記述がありますが、すべてが、自動車がコンピュータのようになり、リモートハッキングの可能性を含んでコンピュータと同じ脆弱性を共有するという認識の点で一致しています。だから何、と思う人もいるかもしれません。

これは、お気に入りの曲を流すラジオ局を選定するといったレベルを遥かに超越したコントロールです。アンチロックブレーキやその他の無効にするとクラッシュする可能性がある安全機能を考えてみてください。自分の乗った車が遠隔制御され、自律モードで壁に衝突したり崖から落ちたりするようコントロールされたらどうなりますか？

自動車システムがハッキングされたときにはどんな心配があるでしょうか？

「自動車システムがハッキングされたときに生ずる最大の懸念は、生命の喪失です。ほとんどのECU（電子制御ユニット）は、（CANバスとして知られる）自動車内部のネットワークに接続されています。ECUがハッキングされると、CANバスに、エンジンを停止させたり、エアバッグを始動させたり、ブレーキを踏んだりといった、事故を発生させる悪意のある命令が送信される可能性があります。」と Karamba Security のCTO兼共同創設者、Assaf Harel 氏は述べています。

幸いにも、解決策は存在します。自動車を含むほとんどのIoTデバイスには、アップデートとセキュリティ・パッチのインストールを可能にする機能があります。OTA（Over The Air）アップデートを好む人もいますが、それは他の人がアクセスを試みるのを許容することにほかならないのではありませんか。自分の所有するすべてのIoTデバイスについて把握していますか？

「IoT デバイスが管理されていない場合は、IoT デバイスをアップデートすることは不可能です。IoTデバイスが管理されている場合でも、リフレッシュ・サイクルが極めて長ければ（6〜12ヶ月のサイクルもあり得ます）、デバイスはエクスプロイトにさらされる可能性が高いです。」と Harel 氏は述べています。

ハッキングされた場合の危険性が高すぎるので、自動車システムのサイバーセキュリティを向上させることは不可欠です。OTAアップデートは、その頻度を考慮すると、避けた方がベストではないでしょうか？

「Karamba の Carwall は、ソフトウェアの構築プロセスで工場出荷時の設定にしたがって（それ以外を封印することで）ECUのソフトウェアを強化します。ホワイトリストのアプローチは、ネットワーク上、ディスク上、およびメモリ内の3つの異なる工場出荷時の設定レイヤで機能します。攻撃の試みが始まると、Carwall は免疫系が外来DNAを拒絶するのと同じようにブロックします。このアプローチは100％決定論的なもので、偽陽性はゼロであり、ECUの性能にはほとんど影響しません。」と Harel 氏は説明します。

ハッキング防止

OTAアップデートがリスクを広げる可能性があり、ECUを強化することで不正アクセスが防止できることを考えると、意味があるのはセキュリティ対策ということになります。

Harel 氏は、自動車所有者に、自分が所有している、または購入しようとしている車のセキュリティレベルを調査し、可能であればサイバーセキュリティを向上させるための措置を講ずる方がいいとアドバイスします。システムが工場での製造段階でインストールされたのか、販売後のアップグレードとしてインストールされたのかにかかわらず、どんな車でもそのサイバーセキュリティを強化することは可能です。

Harel 氏は、IoTシステム製造業者には、以下の４つのポイントを考慮するよう推奨しています。

1. 工場出荷時の設定による封印（IoTデバイスに可能な、ユーザーが変更できないユニークなオプション）
2. リモートでコードが実行され、最も深刻なメモリ内攻撃から保護することは必須
3. 誰も監視できない検出システムのインストールは無意味なので、予防に注力すべき
4. 推測や試行錯誤を含むヒューリスティックスは重要な安全関連のECUで致命的な偽陽性の可能性があるので、確実な決定的ソリューションが必要

IoTは多くの分野でセキュリティに欠けていますが、身体的リスクに直面するシステムには優先してリスク対応する必要があるのは明らかです。自身や家族・友人の移動に使用する自動車は、暇をもて余している不埒な人物、あるいは社会生活に不適格な悪意ある人物のターゲットになり得ます。少しでも早く自らを守る対策が必要ですが、個人が単独で実現できることではありません。

「政府や規制当局は、こうした技術の採用において重要な役割を担います。率先して何が必要かを深く理解し、新しいしっかりしたスタンダードを提唱すれば、業界全体がそれに適応するでしょう。問題は、迅速、率先的にトレンドに対応することはこれらの機関の特性の対極にあるということです。つまり、投票者次第ということにもなります。そういった規制が速やかに制定されるべきだと考える人に投票して要求をつきつけることが可能です。」と、Harel 氏は言います。

どう思いますか？自動車を例にとると、認定された主要ディーラーが手動でアップデートすると思いますか？もっと良い方法があるでしょうか？