サイバー攻撃、黒船ウイルス、守りの旗手は白虎隊の会津なのだ…

サイバー時代の激戦で会津が先頭に立とうとしている。 会津大学のことだ。 日本初のIT専門大学として1993年に創設された公立大学だが、教員の4割は外国人教員であり学位論文は英語で書かなければならない。 歴史は浅いがこの大学の評価はかなり高い。 その会津大学が、産学共同で自動車へのサイバー攻撃を検証できる専門施設「セキュリティー・ウォー・ルーム」を2年以内につくるという。 どういう事なのかこの日経の記事を読んで見よう――

黒船ウイルス 会津が守る サイバー攻撃 新手襲来
車や家電の頭脳狙う 産学連携、対策に知恵
(日経 2013/1/20)

幕末維新ドラマの舞台として知られる福島県会津若松市で「黒船」との攻防の幕が上がった。大きく時代は変わって、主役は会津のIT(情報技術)集団、戦う相手は米国などからやって来る新手のサイバー攻撃だ。ハッカーたちは自動車や家電などソフトウエアで動く身近な商品を標的にする。攻撃を受ければ、被害は甚大だ。サイバー時代の激戦で会津が先頭に立とうとしている。

「ここで実際の自動車に最先端の攻撃をしかけます」。日本初のIT専門大学として創設された公立大学法人、会津大学の岩瀬次郎理事はカーナビ大手アルパインとの共同プロジェクトの始動を心待ちにしている。 「セキュリティー・ウォー・ルーム」――。産学コンビで自動車へのサイバー攻撃を検証できる専門施設を2年以内につくる計画だ。

黒船ウイルス 会津が守る1 攻撃者の視点からシステムの脆弱性を洗い出せれば、効果的な対策を導き出せる。その拠点がウォー・ルーム。まずは敵を知ることから始める。最終ゴールは「走る半導体」とも言える自動車、家電製品などの組み込みシステムをサイバー攻撃から守る技術だ。それをガイドラインにまとめ、製品開発や測定機器、対応ソフトの開発にも役立てる。

情報処理推進機構(IPA)によると、組み込みシステムの国内総生産額は約70兆円もの規模。それだけ多くの組み込みシステムが身近な商品の中で動いている。組み込みシステムは「ウィンドウズ」など汎用OS(基本ソフト)ではなく、独自ソフトで作動しているものが多いため、一見、攻撃しにくそうだが、ハッカーに攻略の糸口がないわけではない。

サイバー攻撃の先進国でもある米国では「カーナビシステムへの攻撃例が目立ってきた。ドアロックを解除したり、駐車中の車のホーンをまとめて鳴らしたりする被害例なども見過ごせないほど出てきた」(アルパインの松田一樹商品企画部専任部長)という。

日本でも、主要な車載LAN方式について「盗聴・解析が容易」と指摘したワシントン大学の論文をIPAが紹介。タイヤのバルブに装着した空気圧測定装置に通信できた例なども挙げ、攻撃への警戒を促している。

黒船ウイルス 会津が守る2 会津で防御策づくりに動くのは、会津大だけではない。学生や教職員が会津若松市に設立したEyes,JAPAN(あいづ・ジャパン)や会津ラボなど地元のITベンチャーも知恵を絞る。年商が数億円規模の小粒な企業群とはいえ、その技術力は世界的な注目の的だ。あいづ・ジャパンの金子正人セキュリティ・エンジニアは会津大OBで、ハッカーの世界大会に入賞した著名技術者。金子氏の見立てでは、「組み込みシステムでも、CPU(中央演算処理装置)の基本設計を基にすれば、弱点を探れる」。

もはや企業がセキュリティー対策で気を配る対象は、社内の情報システムだけではない。ソニーは過去に顧客情報が漏れた手痛い経験から、自社製品の設計者全員にセキュリティー部門での研修を義務付け、製品開発の上流からサイバー攻撃を念頭に置くようにした。

今のところ、防御策づくりに力を入れているのは「ごく一部の企業」(三菱総合研究所の村瀬一郎主席研究員)だが、リコール(無償回収・修理)や製造停止に直結するだけに対応に手は抜けない。組み込みシステムのセキュリティー技術の重要性も、その市場規模も、脅威が強まるにつれて膨らむことは確実だ。

原発事故で受けた福島県の痛手はいまだ癒えていない。会津大はITで復興に役立とうと「復興支援センター」を設立し、アクセンチュアなど県外のIT大手とも連携。会津の存在感は業界内で急速に高まりつつある。

復興は事故からの再生だけを意味しない。その先の成長に向けたドラマが会津で始まっている。 (郡山支局長 佐藤敦、井上英明)

ハッカーの手口 偽の命令を使いシステム惑わす

ハリウッド映画で目にするように、ハッキング技術を駆使して金庫や扉を開けるのは「夢物語ではない」(あいづ・ジャパンの金子氏)という。

ハッカーたちはユーザー認証や操作画面などの入力部分に想定以上の量と種類の文字や記号を入れてエラーメッセージなどを解析。弱点を浮き彫りにしてしまう。その弱点に改めて情報を打ち込んで反応を探りつつ、外側のガード(シェル)を突破していく。

組み合わせをすべて試す“総当たり”が原始的な手法。パスワードに命令(コマンド)を混ぜてシステムを惑わすSQLインジェクションという手法も、「2005年から広がった」(NRIセキュアテクノロジーズの関取嘉浩・営業推進部マネージャー)。

カーナビなど組み込みシステムの場合、手元に同じ機器を用意して警報の回避策などを検証しながら作業を進めると、攻撃の精度が上がるという。インターネットならもっと容易だ。「遠隔操作も使えるネットワークなので、いったん入り込めば操作しやすい」(会津大の林隆史教授)

[日経産業新聞2013年1月15日付]

http://www.nikkei.com/article/DGXNASDD070NP_R10C13A1XX1000/

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中