IFA 2015のトレンドはセキュリティ

国際的な家電見本市IFA 2015の主役はセキュリティでした。展示会場で見かけたKaspersky Lab注目の新技術を紹介します。

ifa-2015-featured

国際コンシューマーエレクトロニクス展IFA 2015では、テクノロジーの統合に関する技術革新が新たなトレンドとして注目されました。ハードウェアのスペックの高さを追求するのではなく、人々の日常生活とテクノロジーを結び付ける時代になったのです。

たとえば、Kaspersky Labは人の身体にチップを埋め込むプレゼンを披露しました。今のところ、デバイスを手首に巻いたりポケットに入れたりして持ち歩いていますが、数年後には皮膚の中にチップを埋め込むやり方が広まっていることでしょう。

モノのインターネット、つまり「Internet of Things」(まだ誕生したばかりですが)に代わり、やがて「Internet of Everything」(すべてのモノのインターネット)の時代が到来します。グローバルなネットワークでは、生きとし生けるものはすべて平等であり、冷蔵庫やアイロンも同じ扱いを受けるようになることでしょう。

こういう話を聞くと、映画『マトリックス』三部作のファンや反ユートピア小説に親しんでいる人は特に、ゾッとするかもしれません。それもうなずけます。今ある製品でさえ十分に安全とはいえないのですから。先駆的なソフトウェアにはセキュリティホールがいくつもあり、さまざまな目的に悪用されかねません。ID盗用もその1つです。

ifa15-bionicman

レイナー・ボック(Rainer Bock) — Kaspersky Labで3人目のBionicMan

現行のチップに格納されているデータは4桁の暗証番号で保護されています。つまり、非常に簡単にハッキングできます。その上、埋め込み式チップの性能はたかが知れている(たとえば、格納できるデータ量はわずか880バイトほど)ため、いっそう保護を難しいものとしています。

もちろん、有効半径(具体的には約5cm)の短さは強力な保護手段になっています。データを盗むためには標的の身体にかなり近づかなければなりません。しかしそのような制約も今のうちです。今後チップの利用が広がれば、悪者は地下鉄に乗るだけで大量のIDを盗み取ることができるようになります。

一方、スマートフォン業界では指紋センサー技術が採用されるようになりました。このアイデアは業界各社の想像力を刺激しているらしく、いまや中程度のスペックのデバイス(中国ZTEの製品など)にも生体認証センサーが搭載されています。

センサーの新しい使い方も登場しています。以前のセンサーは、パスワードに代わる認証方式としては頼りないものでした。第1世代のセンサーは何かと欠陥があったため、センサー認証で何度スマートフォンのロックを解除しようとしてもうまくいかず、結局パスワードを入力するしかなかった、という話はよく聞きます。

以前の技術は、例えるならまともに動かないおもちゃで、保護効果は疑わしいものでした。その後Appleが事態を打開しました。新しい決済システムApple Pay(普及はこれからですが)と併せて、同システムの認証用センサーを発表しましたが、このセンサーはなかなかの出来です。

現在、メーカー各社は競うようにして、指紋画像センサーの画期的な利用方法を考案しています。Huaweiは、このテクノロジーをMate Sモデルのタッチパネルに利用し、画像のスワイプや着信応答などの操作に対応しています。ソニーは、新しい超音波センサーQualcomm Sense ID(これについては以前MWCについての記事に書きました)を利用した指紋認証を実装するとともに、Fidoのサービスにも対応しました。

Fidoといっても、FidoNetではなく、FIDO Allianceのことです。FIDO Allianceは業界団体であり、加盟企業はパスワード不要の認証方式の実現に向けて重要なネットワークを形成しています。Fido仕様には決済やWebサイト認証など、デジタルIDを必要とする諸々の処理が含まれています。

FIDOでは、パスワードが不要なUAF(Universal Authentication Framework)プロトコルを使用しています。UAFの動作メカニズムは基本的なものです。利用者がログインしている間、認証システムはパスワードではなくデバイスに紐付けられます。デバイス側では指紋認識、顔認識、音声認識などの生体認証を使用できます。生体認証要素が多くなるほど偽装が難しくなるため、複数の要素を組み合わせることでセキュリティを強化できます。

FIDOでは、2段階認証の方式、U2Fも使用しています。U2Fでは、単純な4桁の暗証番号とハードウェア暗号化モジュールを併用します。認証システムを1つのデバイスに紐付ける必要はなく、1つのキー(モバイルデバイス用のUSBトークンやNFCタグなど)を利用して複数のデバイスを使用できます。埋め込み式チップは、こうしたタグとして使用可能です。

あとは、おなじみの仕組みが働きます。秘密鍵と公開鍵という2つの鍵が作成されるのです。秘密鍵はスマートフォン内にローカル保存され、第三者のリソースには送信されません。公開鍵は認証リクエストがあったときに使用されます。パスワードは一切必要ありません。

一見したところ革新的には見えませんが、FIDO Allianceは、すべての開発者が対応することになる共通の標準を策定しています。このアライアンスには現在、Visa、MasterCard、PayPal、Google、Microsoft、NTTドコモをはじめ200社以上の企業が参加しており、この標準こそが未来の決定打となる可能性が高いでしょう。

security-week-35-burn

セキュリティウィーク35:WordPressの脆弱性、GitHubへのDDoS攻撃、不正アクセスの法的責任

セキュリティニュースのダイジェストをお届けします。WordPressベースのサイトがエクスプロイトキットの配信に利用され、GitHubがまたDDoS攻撃を受け、米国のホテルチェーンがセキュリティ対策を怠ったとして情報漏洩の責任を問われました。

security-week-35-burn
ヒント