• TOP
  • 特集一覧
  • IoTデバイスメーカーは脆弱性とどう向き合うべきか ~世界最大級の脆弱性発見コンテスト『Pwn2Own』 東京・青山で開催~
2019/10/17

IoTデバイスメーカーは脆弱性とどう向き合うべきか ~世界最大級の脆弱性発見コンテスト『Pwn2Own』 東京・青山で開催~

メイン画像

世界最大級のハッキングコンテストである『Pwn2Own(ポウンツーオウン)』が、11月6日から2日間をかけて東京・青山で開催されます。Pwn2Ownはメーカーとセキュリティ研究者が協力して脆弱性対策を行う場です。今回は、このコンテストの内容と目的を紐解いていくとともに、IoTデバイスメーカーにとって脆弱性対策がなぜ重要なのかを考察していきます。

■Pwn2Ownの目的は、『製品の安全』への貢献

Pwn2Ownは、トレンドマイクロが運営する『Zero Day Initiative(ZDI)』が主催しているコンテストです。ZDI は、世界中のセキュリティ研究者が参加している世界最大級の脆弱性発見コミュニティで、サイバー攻撃に悪用される危険があるソフトウェアの脆弱性を発見するために運営されています。その活動は2005年に開始し、すでに10年以上の歴史があります。現在では世界約80カ国から約3,000名のセキュリティ研究者が参加しており、どんな企業の製品やサービスも幅広く扱う中立性が大きな特徴です。

そして、そのZDIが運営するPwn2Ownの目的は、誰よりも早く脆弱性を見つけ、メーカーに対応を促し、製品の安全に貢献することです。Pwn2Ownでは、メーカー各社が自社製品をハッキング対象機器として提供し、セキュリティ研究者(=ホワイトハッカー)がそのデバイスへのハッキングを試みるということが、2日間にわたって行われます。

前回大会には電気自動車メーカーのテスラ社がスポンサーとして参加し、結果としてModel 3の脆弱性が発見されました。なぜデバイスメーカーは、スポンサーになってまで自社製品をわざわざハッキングさせるのでしょうか?テスラ社は脆弱性の発見を受けて、「彼ら研究者たちの仕事が、私たちの車が今日最も安全な乗り物であることを保証し続けるために役立っていることを、彼らに感謝します」と語っています。この一言が何を意味するのか、紐解いていきましょう。

■脆弱性情報は売買されるほどの価値がある

アプリケーションやOSなどのソフトウェアには、時として意図しない動きをしたり、外から侵入されやすい弱点が見つかったりするときがあります。こういった弱点は『脆弱性』と呼ばれており、サイバー犯罪者に悪用される危険性があります。そして、デジタル化とIoT化が加速する現代では、脆弱性はもはやソフトウェアメーカーだけの問題ではなく、IoTデバイスメーカーにとっても重要な課題です。なぜなら、IoTデバイスはソフトウェアを搭載したコンピューターであり、攻撃者がそのソフトウェアの脆弱性を狙っているからです。

図1は、あるアンダーグラウンドの掲示板への書き込みです。見ての通り、「ルーターやIoTデバイスの脆弱性情報を買います」というタイトルがついています。脆弱性情報は、攻撃者にとって買うだけの価値がある。それを示している例と言えるでしょう。なぜ価値があるかというと、脆弱性情報を購入するほうが、他の方法よりもより効率的に攻撃できるからであると考えられます。わざわざ堅牢な個所を対象とするよりも、脆弱性をもっているデバイスなどを見つけて攻撃する方が侵入しやすいからです。攻撃者はいつでも効率的な手法を模索しています。上記のような理由から、メーカー側も自社製品の脆弱性には無関心ではいられないでしょう。

<図1> アンダーグラウンド掲示板への脆弱性情報を希望する書き込み><図1> アンダーグラウンド掲示板への脆弱性情報を希望する書き込み

■脆弱性との向き合い方

脆弱性は「ソフトウェアの欠陥」と説明されることが多いですが、製品やサービスに内在していたバグや不具合だけが脆弱性ではなく、広義には「結果的に弱点になってしまう製品特性や仕様」も含まれます。つまり、製品としての不具合が内包されていなくても、新たな攻撃手法により脆弱性が生み出されてしまうこともあるということです。どんなに有能な開発者でも、未来の攻撃手法を想定して製品を完璧に作りこむことは実質不可能です。脆弱性はゼロにはならない。メーカーはその前提に立って、ユーザーが安全に製品を使い続けられる方法を提供する必要があります。だからこそ、メーカーは『脆弱性をできるだけ生み出さない努力』に加えて、『脆弱性が見つかったときに対応できる体制』を構築しておくことが重要です。脆弱性の公開や対処に能動的であるほど、製品セキュリティへの意識が高い企業であるとも言えるでしょう。

前回大会を受けてのテスラ社のコメントをもう一度見てみましょう。

“彼ら研究者たちの仕事が、私たちの車が今日最も安全な乗り物であることを保証し続けるために役立っていることを、彼らに感謝します”

注目すべきは、『し続ける』という部分です。ソフトウェアを搭載する製品である以上、IoTデバイスには脆弱性というリスクが常に存在します。したがって、メーカーは製品の安全のために継続した対応をとらなければなりません。上記のテスラ社のコメントはその考え方を明確に表しています。「昨日まで存在していなかった脅威」への準備こそが、IoTメーカーに求められているセキュリティ対策のひとつなのです。

脆弱性はなくならない。だからこそ、早期発見と対応がモノをいいます。

Pwn2Ownのように、外部のセキュリティ専門家の視点と技術は、製品開発者にセキュリティ上の新たな気付きを与えてくれるはずです。

石原 陽平  YOHEI ISHIHARA

石原 陽平(いしはら ようへい)

トレンドマイクロ株式会社

マーケティングコミュニケーションマネージャー

カリフォルニア州立大学フレズノ校 犯罪学部卒業。台湾ハードウェアメーカーおよび国内SIerでのセールス・マーケティング経験を経て、トレンドマイクロに入社。世界各地のリサーチャーと連携し、IoT関連の脅威情報の提供やセキュリティ問題の啓発にあたる。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop