Mobile World Congress 2016:恐るべきトレンド

今年のMobile World Congressにも多種多様な製品が出展されました。しかし、セキュリティという視点でこのイベントを見ると、非常に恐ろしい現状が見えてきます。

mwc2016-featured

Mobile World Congress(MWC)のテーマは、いつでもスマートフォンです。ですが、スマホ巡りをやめ、別の観点で眺めてみれば、違ったものがたくさん見えてくるでしょう。視点を変えて見物しようとMWC 2016へと乗り込んだ私たちの目の前に広がったのは、実に恐ろしい世界でした。

モバイル決済:利便性ブーム

モバイル決済に夢中になっている企業が、相当数あるようです。MWC開催中に行われた発表の大半がモバイル決済に関わるものであり、モバイル決済の利便性の追求、というテーマが何度も登場しました。しかし、繰り返される発表の中で、安全性の強化が強調されることはありませんでした。

たとえば、Samsungはブラジル、英国、カナダ、中国、スペインなど数か国で新たにSamsung Payを展開すると発表しました(英語記事)。Samsung Payが安全でないという根拠はありませんが(ただしApple Payについては根拠あり)、注目すべきは先ごろあるハッカー集団がLoopPayに不正侵入したことです(英語記事)。ちなみにLoopPayは、Samsungが1年前に買収した、Samsung Payのバックエンドで動作するシステムです。

ハッカー集団は似たようなシステムを開発するために技術を盗もうとした、というのがSamsungの主張ですが、ハッカー集団がSamsung Payのユーザーアカウントにアクセスできるデータを持っていないとは言い切れません。

MWCの数日前、QualcommとTencentは、中国最大手のメッセンジャーWeChatの指紋認証決済機能を、Qualcomm系携帯電話でサポートすると発表しました(英語記事)。Qualcomm Heavenフレームワークによって非常に安全な決済が実現する、とQualcommは強調していますが、指紋スキャナーのセキュリティに何かしら問題があることは周知のとおりです。QualcommとTencentが本当に安全な決済システムを開発したことを願うばかりですが、ハッカーが不正侵入の方法をいずれ発見するのは間違いないでしょう。ハッカーは新しい決済システムに対して、いつでもそうしているのですから。

mwc2016-8-qualcomm

VISAは同じ方向に向かって慎重に歩を進めています。VISAは2大クレジットカード会社の1社であり、非接触型決済にかなり注力していますが(VISA PayWave)、同時にこの技術が本当に安全かどうか再三チェックしています。これは、喜ばしいニュースです。VISAでは、すでに虹彩認証のコンセプトが承認されていますし、MWCでは指紋認証システムを展示していました。幸いなことに、指紋認証は初期のテスト段階にあり、さらに指紋と虹彩を組み合わせた2段階認証が検討されているようです。

VISAのブースにいた担当者に、私たちは虹彩指紋のなりすまし(いずれも英語記事)について意見を聞きました。その担当者は、そもそもなりすましが可能かどうかわからないとした上で、そんなことが実現可能だと判明したなら研究者たちは別のセキュリティ手段を考えざるを得なくなるに違いない、たとえばひとりひとりパターンの異なる静脈血流をモニタリングする手段だ、と請け合いました。

mwc2016-6-visa

VISAの最大のライバルであるMasterCardは、自撮り写真(セルフィー)決済で話題をさらっていました。そう、読み間違いではありません。セルフィー決済です。パスワードの代わりに自撮り写真を使うという意味です。MasterCardは、パスワードを紙に書いた後で無くしてしまったり同じパスワードを使い回したりと、パスワードを正しく取り扱わない人が多いため、セルフィー決済はセキュリティを高めるだろうと主張しています。

上の動画を見ると、このシステムではカメラの前に立つだけでなく、まばたきを要求されることがわかります。プリントしただけの写真を使って認証されないようにするためです。もっとも、世界各国のハッカーがこれを挑戦と受け止めたのは間違いないと思います。動画があれば、システムを騙すのに十分ではないでしょうか。

指紋センサー:低迷傾向

生体認証が一般化して、今や指紋リーダーは最新の携帯電話だけでなく、中・低価格帯の携帯電話にも実装されるようになりました。HuaweiはWindowsベースの新型2-in-1タブレットPC、MateBookに指紋リーダーを搭載しています。

MWCで、指紋リーダーのメーカー2社と話をする機会がありました。Synapticsが発表した新しいスキャナーは、データを暗号化して可能な限り安全性を確保しています。また、同社は携帯電話のメーカーに対し、特殊な保護環境であるARM Trustzoneでデータを処理するよう推奨していました。

もう一方の指紋センサーメーカーNEXTは2種類のセンサーを展示しており、その1つはデータを暗号化していませんでした。NEXTは安全なサンドボックスを利用して生体データを処理することの重要性を訴えるのではなく、むしろできる限り製品の価格を安くすることに積極的でした。多くのメーカーにとって、セキュリティは最優先事項ではありません。懸念すべきは、安価で安全でないNEXT指紋スキャナーが多くのデバイスに実装されるようになり、先ほどお伝えしたスマートフォンを使った非接触型決済が今以上に危険に晒されることです。

mwc2016-4-next

コネクテッドカー

最初はコネクテッドカーが、続いて自動運転車が私たちの未来に登場することでしょう。でも、今のところ自動車メーカーは、サイバーセキュリティよりも走行時の動きや安全性にずっと関心があるようです。インターネット上に晒される車にサイバーセキュリティは不可欠ということは、すでに研究者が証明しているのですが。

SamsungとSonyは、従来の自動車とも互換性のある「コネクテッドカー自作」キットを発表しました。Sonyが発表したのはUSBやBluetooth経由で接続するデバイスで、携帯電話にインストールされているナビゲーションアプリのコントローラーのようなものです。ハッキングされても、目的地や流れている音楽やその変更方法に影響を与えられる程度のものでしょう。そんなに怖くはありません。

mwc2016-featured

一方のSamsungは、もっと複雑なデバイスを発表しました。車両の状態を分析する機能もあれば、車内Wi-Fiスポットとして動作する機能もあります。つまり、このデバイスは車載システムのOBD IIポートとLTEネットワークへ同時に接続されるということです。OBD IIを使って自動車を遠隔操作でハッキングできることは、すでに知られています。Samsungのデバイスはインターネットに直接接続されるため、さらにハッキングしやすくなっています。

自動車自体は、衝突テストなどで高い安全性を確保できても、何者かに簡単に制御を奪われ、離れた場所からエンジンを全開にされてしまうのであれば、せっかくの安全性もほとんど意味がなくなります。

mwc2016-3-nxp

MWC 2016の出展物あれこれが全部恐ろしいものだったわけではありません。とても興味深いデバイスも、良いニュースもありました。それでも、今年のMWCのテーマは間違いなく「何もかも、つながるようになる」であり、インターネット上に晒されるモノが増えれば、そうしたモノをハッキングし、不正アクセスするための道が数多く開かれることになります。次回のMWCでは、こうしたコネクテッドデバイスのセキュリティがもっと重視されることを願います。とはいえ、次回のBlack Hatで、こうしたコネクテッドデバイスのハッキングについて報告されるのは間違いないことでしょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?