モバイル
Androidのサプライチェーンセキュリティに必要な包括的トレーサビリティ
製品のサプライチェーンに関するトレーサビリティは、製品の安全性や品質に影響を与え、さらに近年浮上したトレンドとして、製品の持続性や倫理性にも直接的に貢献するため、製造業で特に重要視されています。
製品のトレーサビリティ
製品のサプライチェーンに関するトレーサビリティは、製品の安全性や品質に影響を与え、さらに近年浮上したトレンドとして、製品の持続性や倫理性にも直接的に貢献するため、製造業で特に重要視されています。
安全性に関する例として、自動車の製造業者は、部品の欠陥が判明した際には一貫してリコールを実行します。これによって顧客を危険から守るだけでなく、コンプライアンスを遵守することで訴訟に至る事態が回避され、結果としては自分自身をも保護します。最近の例として、電気自動車メーカー「Rivian」は、ステアリングの留め具が緩んでいたという理由から、対象の全自動車向けにリコールを実施しました。
製品のトレーサビリティは、ブランドの評判を維持する上でも重要です。例として、高級宝石店は、販売するダイアモンドがいわゆる紛争ダイアモンド(労働者や環境を酷使して採掘されたダイアモンド)ではないことを購入者が確認できるように、キンバリー・プロセス証明書を添付します。
一方、ソフトウェア業界においてトレーサビリティは1つの問題点となっています。例として、脆弱性「Log4j」は長期に渡ってセキュリティ対策チームを悩ませ続けていますが、そこで課題になっているのは修正パッチの適用方法ではなく、システム内でそもそもどのソフトウェアがLog4jを使用しているのかを特定しなければならない点です。こうした事情から、ソフトウェア業界全体でトレーサビリティを向上させるという目的のもと、製品に含まれるライブラリ群を一覧化したソフトウェア部品表「SBOM:Software Bill of Materials」の考え方が注目されるようになりました。
Androidのエコシステムにおいて、トレーサビリティの確保はさらに困難な課題となっています。その理由は、Androidがさまざまな種類のモバイル機器上で稼働するように設計され、さらに販売側でもオペレーティングシステムの独自バージョンを作成できるなど、オープンなアーキテクチャ志向が採用されているためです。また、スマートフォンブランドの保有業者も、ハードウェアやファームウェア、アプリ、システムアップデート用インフラといった各種コンポーネントを全て自社内で製造することは困難であり、別のメーカー(OEM:Original Equipment Manufacturer)が製造したスマートフォンを自社用にリブランドして販売する場合が大半を占めます。そのため、多くのAndroidブランド業者は自社が販売する製品に組み込まれているコンポーネントについて十分に把握できていないのが現状であり、望ましくないアプリやセキュリティ事象が発覚した際には不意を突かれることになります。
Androidソフトウェアのサプライチェーンに関する問題
ここでは例として、「ACME telco(架空の社名)」が新規の5Gデータプランを売り出すにあたり、安価なスマートフォンを契約プランのパッケージに含めようとしている場面を想定します。ACME telcoはスマートフォンの製造業者ではないため、開発や製造については専門のOEMに委託します。この場合、ACME側で実施すべきことは、希望する仕様や価格の設定と、ブランド化戦略のみです。こうしたビジネス方式はよく「ホワイトラベリング」と呼ばれます。この呼称は、機器の製造に関しては全てOEM側に委ねる一方、ブランドを示す「ラベル」だけは空白(ホワイト)のまま残しておき、後で発注者である顧客がそのラベルにブランド名を書き入れる、という発想から来ています。
便利で安価なホワイトラベルですが、一定のリスクも伴います。まずOEMは、要求された仕様を満たす範囲で、可能な限り安価なハードウェアを使用するでしょう。また、スマートフォンの稼働にはハードウェア以外にファームウェアやカスタムアプリも必要であり、OEMはこれらに投じる費用もなるべく安く抑えようとします。ファームウェアをOEMに提供する業者は通常より安い料金で開発を承諾することがありますが、その裏では、損失を埋めるために他社製のアプリを紛れ込ませて対価を得るといった、不審な取り引きが行われている場合があります。こうしたバンドルサービスの市場は幅広く展開され、1端末1アプリ毎に1~10中国人民元(本稿執筆時点で0.14~1.37米ドル)の値段が付けられています。これがホワイトラベルに伴うリスクであり、スマートフォンのブランド業者が自身で端末のファームウェアやパッケージアプリ、アップデート機構を保有、管理、または監査しない限り、不審なサプライヤーによって未認可のコードを埋め込まれる可能性があります。
未認可の不正な、または望ましくないコードは製造工程で完全にインストールされるとは限りません。スマートフォンはインターネットに接続されているため、不審なサプライヤーはファームウェアやアプリのアップデート機能を駆使することで、製造後の実際に利用されるタイミングを待ってから、不正なコードの全量をインストールする可能性があります。
OEMがサプライヤーの可視性を確保することなく、コンポーネントの追跡や整合性の検査を怠っていた場合、未認可のコードを埋め込んだ不審なサプライヤーの所在や、不正なコードが埋め込まれた時期を特定することが困難になります。さらに、不審な活動の背後にいるグループは、ファームウェアやアプリのアップデート機構を悪用することで、任意のコードを任意のタイミングで、自在に対象端末にインストールすることも可能です。これにより、状況の把握やインシデント発生時の対応、フォレンジック調査がより複雑化して困難なものとなります。
Androidのサプライチェーンセキュリティが重要な理由
スマートフォンがゲームのプレイや音楽や動画の視聴が可能なだけのカメラ付き電話に過ぎなかった時代は、遠く過ぎ去りました。現代のスマートフォンでは、ほとんど常時インターネットに接続し(モバイルデータの料金が下がり続けている結果)、業務に活用できるように生産性向上アプリや業務用アプリが稼働しているケースも多く見られます。
さらに、スマートフォンにはオンライン上での識別キーとしてモバイル電話番号が紐付けられ、二要素認証(2FA:Two-Factor Authentication)やアカウントの有効性検証に使われます。SMSベースの2FAは別として、企業内システムでの認証も、スマートフォン用のアプリによって行われます。
実施すべき対策
第一に、Android端末ユーザの方は、スマートフォンが日々のタスクに重要な役割を担っている実情を踏まえ、組み込まれているコンポーネントや稼働しているソフトウェアの出所について、より一層の注意を払うべきではないでしょうか。
第二に、スマートフォンベンダの方は、調達経路の健全化を意識し、信頼性の確認されたOEMとのみ取り引きする、製品のトレーサビリティやSBOMを要求するといった取り組みを強化するべきではないでしょうか。
第三に、情報セキュリティ専門の方は、業務用アプリや認証アプリをスマートフォンにインストールする前に、許容できるブランドや機種に関する検討と審査を行うべきではないでしょうか。
Androidスマートフォンやファームウェアの整合性や安全性を確かめる明確なガイドラインや証明機関が存在しない現状を踏まえると、上で挙げたことは、私達自身に対しても問うべきことです。サプライチェーンの安全性やサプライヤーの選定基準に評判のあるブランドから全機器を購入できるように、ベンダーや機器に対する適正評価をリスク選好に応じてさまざまなレベルで実施する必要があるでしょう。
政府機関も、安全性に優れた方式で開発または製造された製品をリストアップする制度を導入することで、製造業者や小売業者による取り組みを支援できます。例えば、シンガポールやフィンランドでは、「Cybersecurity Labeling Scheme」と呼ばれる制度が存在します。この制度では、「基本セキュリティ事項」、「開発者による適合性宣言」、「サードパーティによる審査」、「ペネトレーションテスト」という4段階のランク付けを用いることで、製品のサイバーレジリエンスに関する評価を明確に示します。現時点では対象がルータやIPカメラなどのIoT製品(Internet-of-Things)に限定されていますが、スマートフォンに対して似たような仕組みを導入することも可能でしょう。
現状では、不審なサプライヤーは身を潜めながら反倫理的なビジネスを継続的に展開することが可能です。これは、そうした不審なサプライヤーの可視性が欠如しているためであり、また、可視性が欠如していることが原因で、問題の発生に際して説明責任を求めることも難しい状況にあります。打開策として、製品のトレーサビリティに関わる可視性の向上、SBOMの取得、政府機関のサポートを受けた評価制度などが挙げられます。こうした取り組みを通して、不審なサプライヤーによる活動の場を狭めることが可能です。
参考記事:
Comprehensive Traceability for Android Supply-Chain Security
By: Fyodor Yarochkin, Vladimir Kropotov, Zhengyu Dong, Paul Pajares, and Ryan Flores
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)