スマートシティ技術の危うさにもっと注目を

スマートフォンやウェアラブルが乗っ取られたとしても、命の危険はないでしょう。しかし、インターネットに接続された信号機や電車、送電網がハッキングされたらどうでしょうか?

2016-08-05 - cybercity

午後4時、ニューヨーク市の信号機が何者かの手によって一斉に止められたらどうなるか、想像してみてほしい。

Black Hatで開催されたスマートシティのセキュリティに関するラウンドテーブルで、当社セキュリティエキスパートのライアン・ナレイン(Ryan Naraine)が口にしたことが、ずっと私の頭を離れません。

主に技術研究者の間で交わされた会話ですが、世界で最も交通量の多い都市で信号機が止まるという考えを、どうしても振り払うことができませんでした。近ごろは、あらゆるものがネットにつながっています。携帯電話、テレビ、時計、フィットネストラッカー…それに玄関だって、ネットにつながっているかもしれません。では、信号機列車制御システム電力網もそうであることはご存じでしょうか?

私たちの日々の生活に欠かせない産業システムのどれかが止まってしまう。想像するだけでもゾッとする話です。

電気が?
電車が?
信号機が?

どれか1つでも不適切に扱われたら、命取りになりかねません。ですが、多くのモノと同じように、スマートシティのセキュリティはまだ十分な対策がとられていません。

Ryan Naraine talking #smartcities and securing them #ioasis #klbh #blackhat2016

A photo posted by Kaspersky Lab (@kasperskylab) on

お役所仕事やシステムの開発期間の短さなどの要因が重なって、セキュリティ対策は後手に回ることが多々あります。

この問題をめぐる議論は、セキュリティ業界でも同様に厄介なことになっています。というのも、普通の人たちはセキュリティのことをまったく考えていないため(考えるべきなのですが)、議論が業界内に留まり、業界の外へと発展しないのです。

セキュリティを語るとき、私たちは日常的に使う身近なモノに目を向けがちです。たとえばPC、モバイルデバイス、フィットネストラッカー…とても大事なモノのように思われるかもしれませんが、これらは実際にはぜいたく品であり、生活必需品ではありません。ハッキングされたら大きな痛手となりますが、だからといって死ぬようなことには、普通なりません。

先日開催されたRedditのAMAで、こんな質問がありました。「ICS(産業用制御システム)のハッキングによって大量の被害者、もしかすると死者まで出るような事態を、私たちはいつ頃から目にし始めることになるのか、何か予想されていることがあれば教えていただけないでしょうか?今の時点でもその可能性はあるのでしょうか?ドイツの製鋼所に対する攻撃やマルウェア のBlack Energy、スウェーデンの航空管制システムに対する攻撃などを見ると、まだ現実になっていないとはいえ、危機は目前のように感じます」

この質問に、ブライアン・バーソロミュー(Brian Bartholomew)はこう回答しました。「素晴らしい質問ですが、エキスパートにとっては厳しい質問です。私の考えでは、誰かがどこかで最後の一線を越え、被害者が出るのは時間の問題です。セキュリティ対策がとられておらず、サイバー攻撃への耐性がない重要インフラが溢れていることを考えると、正気を失った人と、ICSの動作に関する基本的な知識が揃えば、大規模な被害が生じる可能性があります」

「だからこそ、ICSのセキュリティ対策は、セキュリティ分野の政策立案者などの専門家が今すぐ取り組むべき最重要課題です。いただいた質問のような厳しい問いを、関係者にもっとぶつけていかなければなりません。誰が対策を実施するのかについてですが、…また個人的な意見になりますが、誰も『十分な』対策を実施できていないと思います。そもそも『十分な』では、ダメです。侵入できないようにする必要があります。今すぐに。ところが、現状はそうではありません。ICSに対する攻撃は、もはや都市伝説などではありません。すでに起きていることであって、今後は悪化するばかりでしょう」。

ヴィタリー・カムリュク(Vitaly Kamluk)は、次のように回答しています。「正直言って、考えたくありません。前に、マルウェアが仮想世界と物理世界との境界を越えて物理的な対象を破壊する可能性について考えを巡らしたことがありましたが、Stuxnetの事件が起きたのはそのまさに翌月でした。当時はひたすら、『なぜ、こんなに早く?』と考えていました。飛行機の墜落や列車の脱線のような突然の惨事を耳にするたび、そのときと同じ妙な気持ちになります」

「halvarflakeの名で知られる有名なセキュリティリサーチャーが今年初め、こんなことを言いました(僕の記憶の中で再構築するとこんな感じです)。『物理的な対象は、あなたが所有することができる。ただし、コンピューターシステムにはもう1つ、制御という側面がある。コンピューターを所有することはできるかもしれないが、現行のシステム設計では、誰が制御しているのかは決してわからない』」

「これが僕の安眠を妨げるのです。コンピューターシステムに対して僕たちが抱く『制御』という幻想は、自らの力を他人に向けて行使する人々によってもたらされる悲劇の可能性を限りなく拡げますから」。

では、この厄介な問題に対して、何ができるのでしょうか?

手始めにできることは、グローバル社会の住人として、選挙で選ばれた人々が私たちのためにどのような安全対策を実施しているのかを注視していくことです。

教育と意識向上は、極めて重要です。この議論はセキュリティ業界を超えて交わされるべきであり、ゴールデンタイムのニュース番組で取り上げてもらわねばなりません。こうした超重要システムに対するハッキング行為は、破滅的としか言いようがありません。有名人のスキャンダルや出会い系サイトのハッキングなどよりも、もっと注目されるべきテーマです。

ヒント