スマホから工場、社会インフラまで――多様化するセキュリティ対策の“今”と展望

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共にゲストを他社からお迎えし、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第4回をお送りします。

川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。2018年からはサイバー攻撃をゲーム感覚で楽しむプロジェクト「Micro Hardening」で全国ツアーを開催するなど、サイバーセキュリティに関するコミュニティ活動にも長年貢献してきた人物です。

今回の座談会に登場するイエラエセキュリティのメンバーは、高度解析部に所属する三村聡志。
ゲストとして三菱電機株式会社情報技術総合研究所 情報セキュリティ技術部開発第3グループの木藤圭亮氏をお迎えしました。

お二人は経済産業省及び外郭団体主導による「セキュリティキャンプ」にて学生時代から切磋琢磨してきた仲間でもあります。
セキュリティ界の若き俊英たちと、顧問・川口洋が大いに語り合います。どうぞお楽しみください！

“セキュリティ・キャンプで鍛えられ、プロフェッショナルの道へ”

川口洋（以下、川口）：まずはお二人とも、自己紹介をお願いします。

三村聡志（以下、三村）：三村です。イエラエセキュリティ高度解析部で、今は主にスマートフォンのアプリ診断をしています。オフィスの机にはAndroidのスマートフォン、iOSのiPhoneとiPadを常備していて、アプリを入れて変な情報を抜き出すことができないか、またゲームアプリでチート行為ができてしまわないか、といったことを調べています。案件としては、ゲームとその他が半々くらいの割合ですね。

川口：iPhone、Android以外のスマホもやってるんですか。

三村：Windows Phoneは個人では持っていましたが（笑）、案件として診断依頼は来たことはないですね。

川口：今日はひとつのテーマとして「パソコン以外」のことを是非考えたいと思っています。

木藤圭亮（以下、木藤）：三菱電機の木藤です。弊社は電機メーカーなので物を作って売るのが仕事ですが、私はコーポレートの研究所に所属していて、会社で作っている製品全体に対するセキュリティ技術やセキュリティ対策に関する仕事をしています。

例えば付加価値として製品にセキュリティ対策を入れられないか、とか、自社製品のセキュリティ対策は本当に大丈夫なのか、などを検討したり技術的に検証したり、さらには必要とされる新しいセキュリティ対策技術を開発する部署です。

川口：木藤さんご自身のお仕事としてはどのような事をされているんでしょうか。

木藤：一言で言えば「日本のセキュリティを守る」のが仕事だと考えています。

川口：おおおーー。

木藤：というのも、弊社はありとあらゆるインフラを支えている会社だと自分は思っているんです。例えば工場の自動化設備・上下水道のシステム・エレベーター・発電所の送電設備、あと電車もありますよね。研究所はコーポレートの立場なのでいろんな事業部のセキュリティに関わっているので、自分自身も時期によって関わるプロジェクトが違うのですが、同じ会社でも事業部が違うと、会社が違うくらい文化が違って、求められることが変わってきます。

例えばある事業部だと「適切なセキュリティをコストとの兼ね合いでどう入れるか」が重要です。お客様に対してコストパフォーマンスよく納めること、それを説明できることが求められます。一方、インフラ系の事業部だとやはり重要インフラなので“止まること”を一番気にされていて、「このセキュリティ対策で本当に充分なのか」「本当にこの試験で大丈夫なのか」と説明することが求められます。提言をすることもあるし、技術的支援をすることもあります。

川口：お二人の接点はどこからなんですか？

木藤：初めて会ったのは「セキュリティ・キャンプ」ですね。僕と三村さんは2012年のチューターで参加している時に一緒になったんです。1991年度生まれの同級生ということもあって、自然と仲良くなりました。2人とも温泉好きなので、転職祝いに温泉旅行に行ったり、最近もよく一緒に遊んでいます。

川口：仲良いですね！ セキュリティキャンプに参加したのは同じ年ではなかったんですね。

木藤：私は2009年に、「セキュリティ＆プログラミングキャンプ」と呼ばれていた頃に参加しました。サイボウズ・ラボの川合秀実さんが講師の「OS自作組」という、「OSをみんなの好きに作ってみよう！」というプログラミングコースに参加していました。

三村：私は「セキュリティ＆プログラミングキャンプ」という「プログラミング」がつく最後の年だった2011年に「ソフトウェア・セキュリティ・クラス」に参加しました。このクラスのうち、愛甲健二さんの講義がものすごく大変だったのをよく覚えています・・・。渡された資料はたった4ページで、1ページ目に「マルウェアを解析しよう」という題名が書いてあって、2ページ目に愛甲さんの自己紹介があり、3ページ目は「マルウェア解析をしてみよう！」、4ページ目には「発表会」とだけ書いてあって・・・あとはマルウェアの本物のexeファイルをいきなり渡されて、「さあ、どうぞ！」というクラスでした。

川口：とてもハードなクラスを生き延びたんですね。どうやってやるか何ひとつ書いてない資料ですが（笑）それ、三村さんはできたんですか？

三村：実はそのクラスの事前課題がとても重くて、その時点でかなり鍛えられていたんです。事前課題は「アセンブラでプログラムを書いてみよう」というもので、渡されたプログラムと同じものを実装しておくというものでした。

当時はアセンブラがそんなに読めなかったので、本当に1日24時間、気がついたら朝になるまで毎日ジーッとアセンブラとにらめっこしていたところ、キャンプ一週間前の朝4時くらいに、突然アセンブラがハッと読めるようになったんです。

川口：目覚めた（笑）。

三村：「アセンブラ読める！ 読めるぞー！」って（笑）。で、その状態でキャンプに向かいました。

川口：そもそも、何故そのクラスを選択したんですか。アセンブラ読むレベルに達するまで、なかなか大変じゃないですか。

三村：私はセキュリティ・キャンプに参加する前に、文部科学省のICTスクール（参考サイト）に参加していたんですが、 ここで「セキュリティ・キャンプ」の参加者と出会って、面白そうだなと思ったのがきっかけになり、参加することにしたんですが・・・このICTスクールというのがまた、高校生相手にも関わらずかなり大変な課題を与えてくるスクールでした。

ちょうど当時GeForce 8000系が出たばかりで、NVIDIAが「GPUでプログラミング出来ます」って言いだした頃だったんですが、東工大のTSUBAME等のドキュメントを持ってきて、「おまえらGPGPUできるだろ？」「これを読めばプログラミングできるようになるからやってみろ」みたいな内容でしたね・・・。ここで難しい課題に立ち向かっていく素養が作られていたのかもしれません。

川口：そういう無茶振りでも、目の前に課題があれば、読んで、頑張って試してみる下地が作られていたわけですね。突然マルウェアを渡されても、ノーヒントでなんとか解析して発表してしまえるわけですから（笑）。そんな経歴の持ち主がイエラエに入社して診断に関わっている、ということですね。

“IoT、工場、センサー…増えつつある“パソコン以外”のセキュリティ対策”

川口：今日はお二人に「パソコン以外のセキュリティ」で最近気になってる分野についてお伺いしたいです。「世間はあまり注目してないけど、ここはちゃんとしないとヤバいんじゃないか」というような話はありますか。

木藤：パッと思いつくのはIoT関連のセキュリティですね。ここ4～5年はDEF CONとかBlackHatで発表されることが多い印象です。例えばセンサーに対する攻撃ですよね。IoTって、物理値をセンシングして、クラウドに送信して、アクチュエーターの動作に反映させるといったシステムですが、センサーの情報って意外とノーケアなんです。

ドローンに対して超音波を当てると、姿勢を制御してるジャイロセンサのセンシング値を欺瞞させて墜落させることができたりします。AppleWatchのような腕に付けるヘルスケアデバイスのセンサーは、心音とか脈拍を測ってると思うんですが、そこに超音波を当てるだけで数字が欺瞞できたりするんですよね。

川口：私も心臓のペースメーカーの脆弱性が指摘されていたのを2年前くらいに見ましたね。社会インフラになっているシステムのセンサーに、物理的に攻撃されたら問題ですね。変な電波送られて数値が狂ってしまうと命に関わります。

木藤：センサーってただの物理的な装置なので、たとえばジャイロセンサとか角度センサーって、外部から物理的に電磁波や超音波を意図的に当てられたりして騙されても、気付かないんですよね。センサーの値としては異常な値が出ても、制御はセンシングした値を元に制御してしまう。

制御工学的にはこれをフィードバック制御と言うんですが、これはセンサーの情報が正しいのが前提で成り立っているんですよね。異常値に従えば、当然、制御そのものは狂ってしまいます。そういう問題があるにも関わらず、現状ではセンサーそれ自体に対策を入れようとするとかなり難しいんです。

川口：センサーへの攻撃が目に見えづらいから、「やられてる」ことすら、分からないわけですよね。対策の難しさって、どういうところにあるんですか。

木藤：物理的な対策がし辛いということが最も問題です。根本から対策しようと思うと、例えば、センサーを電磁波から守ろうとしたら鉄のシールドをしなければいけない。でも現実的ではないですよね。コスト的にも、センサー自体は1個数十円とか数百円なので、そこに充分な対策コストをかけますか？というと、なかなか難しいですよね。

川口：1個100円のセンサーに対策コストが10,000円かかっちゃうという事態になってしまうわけですね。センサーの数は何千、何万個の単位で利用していくことなるので、単価が安いことは重要ですよね。

木藤：IoTだと何億のデバイスが出ると言われてるので、その全てにハード的な対策をしようとするのは難しいのですが、そこはどうにかして対策しなければならないと思っていて、僕らとしてもホットトピックとして考えています。

川口：そういう問題って、以前からあった話だと思うんですが、これまでマンパワーでなんとかクリアしてきていたことが、人手不足で労働人口が減りつつあることもあって、IoTを活用していこう、ITの力を使って業務を効率化しようという流れですよね。そこにIoTの問題があるというのが悩ましい。

とはいえ、これまでそもそもITを使っていないような部門に導入する場合、セキュリティ対策というようなことが当たり前じゃない場合も多くて、導入が大変ですよね。

木藤：イランの核開発を妨害するために使用されたマルウェア「Stuxnet」の事件以降、産業用システムや工場などに対してセキュリティ対策をしないといけないという空気は一気に強まったのではないでしょうか。

最近では、工場の中のデータを吸い出して、生産活動をより効率的にするようなデータ解析をして、工場のオペレーションに反映させるといった取り組みが盛り上がりつつあります。このような装置を工場内に入れるとなると、やはりセキュリティ対策が必要になるんですよね。

でも、「PLCで制御しているこのデータ値をUDPで送ってほしい」と思っても、現場の工場のラインを見ている方からすると「それやると制御タイミング狂うからやめて欲しい」というくらい、シビアな問題だったりします。ログデータ取り出すだけでも障壁があるところにセキュリティを入れるのは、ものすごく高いハードルがあります。

川口：パソコンベースでITのセキュリティをやっていると、CPUやメモリが潤沢にあるのが当然と思いがちですが、現実はそうではないですからね。

“プラットフォームの多様化が招く、開発の複雑化とリスクの増加”

川口：三村さん、スマホ診断をしていて問題だと感じている点はどこでしょうか。

三村：「ここを忘れがち」って思うのは、バックアップ領域に関する部分ですね。iPhoneだと、重要な情報を保存するキーチェーンの保存領域があるので、そちらに保存してもらえればバックアップで抜き出しても他の人間が見ることはできないので、本当に大事な情報はそちらに置いて欲しいのですが、普通のストレージに大事な情報を保存して、バックアップすると普通に見ることができてしまうケースがあります。

iTunesを使って取るiPhoneのバックアップって、普通は暗号化がかかっていて内容が見えないのですが、暗号化は解くことが可能なんです。ゲーム会社やアプリ会社さんは「暗号化かかってるから大丈夫だろう」と重要な情報を平文で保存していたりして、バックアップを取ったときに機密情報が出てきてしまう、というようなところがたまにあります。

川口：プラットフォーマーが安全な方法を用意しているのにちゃんと使われてないことが問題ですよね。

三村：そういう例で言うと、例えばiOS9.0からはApp Transport Security（ATS）という機能がデフォルトで有効になり、OS側で HTTP 通信や証明書が検証できない通信がブロックされるようになりました。でもアプリによっては HTTP通信が必要な場合もありますので、特定の通信先に対しては機能を無効にするといったことが出来るのですが、アプリ全体で機能を無効にしてしまい、本来堅牢にできるはずの場所なのに、脆弱になってしまっているというケースはありますね。

川口：そうなってしまうのは、知らないからなんですかね。

木藤：それはあると思いますね。iOSってどんどんバージョンが新しくなって、Xcodeもそれに合わせてどんどん新しくなるじゃないですか。新しいAPIもどんどん追加されていくんですが、それに追従するのはかなりコストなんですよね。ドキュメントを読み返して、「これはここに使えるよね」って検討するだけでかなりの工数がかかるので、それだったら今までのAPI使おうってなっちゃうんですよね。

三村：あとは、iOSとAndroidとPCを全部同じコードで作ろうとした場合、iOSしか持ってないキーチェーンの仕組みを使うかというと怪しいですよね。

情報の保護が不十分な例としては、認証キーの問題もありますね。HTTPベースで通信をしているときに、認証のヘッダがあって「このヘッダがなければ通信ができない」という運用をしているケースがあったのですが、検証過程で複数台のスマホに入れてみたところ、どのスマホに入れても同じ認証キーが飛んでいたりすることがありました。

診断メニューによっては中のコードも見たりもしますが、認証情報がすぐに分かるような形で保存されてるケースもあるんですね。これでは「認証機構を通しているから大丈夫だ」とはとても言えない状況ですが、実際にはそういうこともあります。

一方で、堅いアプリ、例えば銀行系のアプリとかだと、スマートフォンやアプリに何らかの改造が加えられていないかを内部でチェックするようになっていて、かなりしっかりとしている事が多いです。

川口：プログラムが動く環境が正しいか、まで注意を払っている堅いアプリもあれば、そんなこと関係ない、動けばいいじゃんというアプリもあるということですね。

三村：ゲームアプリだと、リアルタイムレスポンスが要求されるが故にチェックが難しいということがあります。サーバーとスコアの送信をするときはガチガチに認証がかかっているんですが、リアルタイムで通信している対戦のところなどは、中のデータまで検証していなくて、必殺技を連発するとかが自由にできちゃったりすることもありました。

川口：なるほど、アプリの内容によっては、いろいろな変遷の過程でそういうゆるい実装に落ち着いてしまったのだな、という場合もあるんですね。被害を受けるまでは「それが何が問題なの？」ってところはあるんでしょうね。

ゲームにしてもアプリにしても、ちゃんとしてる会社と、そうでない会社の違いって何なんでしょうね。こういう会社さんはちゃんとやってるな、みたいな。

三村：定期的に診断依頼をいただいてる会社さんのコードは、やはりしっかりされてるなと思いますね。

木藤：セキュリティ診断って、どうしても年度末に「予算余ったからしよう」という会社さんが多いと思うんですが、やはりセキュリティ担当者としては定期的に回して頂いて、改善していただけるといいですよね…。

“「本当に繋がってよい相手か」自動判断する時代へ”

川口：以前、ある遊園地に視察しに行ったのですが、いろんな施設がIT制御されていて、お金無いながらにもセキュリティ対策を頑張っておられるんですね。ところが、乗物の待ち時間など混雑状況が分かるアプリについては「これ、営業のキャンペーン予算で安く作ってもらったんですよ」と担当者が仰っているんですね。

基幹システムはすごく頑張っているのに、営業キャンペーンで数十万で作ったスマホアプリは、本体のセキュリティとは切り離されている状況で繋がっている。「ああ、こういうところから全体のセキュリティに綻びが出たりするのかな」と怖い思いをしました。そんなことって結構ありますよね。

木藤：そういう悩み、本当にたくさんあるんですよね。今、「Society5.0」というテーマを政府が掲げていることもあって、いろんなシステムを連結して最適制御しようという概念が提唱されています。こういう場合のセキュリティ対策は、私たちが扱うテーマの1つでもあります。

例えば、交通網のシステムと電力網のシステムを繋ごうとしたときに「相手がセキュリティ対策をちゃんとしてるのか」「信頼できる相手なのか」「連接していいのか」というのを一つずつ判断しなければなりません。そういうのって、今までは担当者同士で話を詰めて、「これやってるなら、この部分だけ繋ぎますか」みたいな細かい話をしてたりしましたよね。

でも今後、システム・オブ・システムズの時代になってくると、繋がってくるシステムも多くなり、労働人口も減っていく中で、「本当に繋がって良い相手なのか」を自動的に判断していかないと回らなくなっていく。そこは大きな課題だと思います。さっきの川口さんの例のように「いつのまにか繋がってる」というケースもありうると思います。

川口：そこは難しい問題ですよね。シャドーITというべきなのか・・・

木藤：シャドーIoTとかも、そのうち出てくると思いますよ。今は開発のスピードもどんどん加速していて、イチから全部作るのは非効率なのでサードパーティのライブラリを買って開発しようとか、既にあるシステムを買ってきて入れようということも多いですが、セキュリティ的に大丈夫なのかをちゃんと確認できるのかというと難しい場合も多いですよね。

ソースコードがあるOSSだったら、ソースコードを見たり、脆弱性のない最新版を使おうといった対策のしようがあるんですが、ソースコード無しで、バイナリとAPIの仕様書しかないという場合もあります。そのライブラリに脆弱性がないことを証明することは無理にしても、どう対策すればいいのか日々考えています。

三村：サードパーティーのライブラリの問題はよくありますね。最近のライブラリはミニマムに作るようになってきて良い傾向だと思います。「なんでも出来ます」という、十徳ナイフ的なライブラリがいっぱいあった時代には、山ほど十徳ナイフを入れているのに、その中の一部の機能しか使っていないというようなアプリがよくありました。

そういう場合、開発者が使っているのは一部でも、ライブラリ自体はメモリ上にあるので、結果的に全部の機能が使えてしまうんですよね。WordPressなんかも、十徳ナイフ的なPHPがサーバーにあって、パラメータを変えるだけでファイル削除もできる、追記も出来る、みたいなケースもあって、自分のところに入ってたら嫌だな、ってゾッとしました。

木藤：いまの時点では「脆弱性を見る技術」というのはなかなか無くて、ペンテスターとか診断する人たちが手動で見るしかないというのが現状です。でもただでさえ人がいなくなっていく将来、「自動で脆弱性を見つけることができる技術」が必要になるのかなと思っています。実は今、アカデミアでは、バイナリから脆弱性を見つけるのが先端のトピックスになっているんですよ。

2016年に、DARPA（国防高等研究計画局）主催のCGC（Cyber Grand Challenge）というコンテストが開催されて注目を集めたんですが、これはソフトウェアバイナリから脆弱性を見つけて、その脆弱性を攻撃するコードとその脆弱性を修正するパッチを自動的にAIが作るっていうプロジェクトだったんです。これが皮切りとなってアカデミアでもこのトピックが盛り上がってきていますし、いよいよそういうものがリアル社会で必要となる時代が来るんじゃないかなと思っています。（参考：自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト）

“セキュリティを“適切”に組み込む難しさ”

川口：最近、Wi-Fiルータに関する大きい脆弱性が見つかったという話を聞きました。三村さん、どんな脆弱性だったか教えて頂けますか？

三村：大きいものが2つあって、1つ目はルータの初期パスワードが、ある程度まで推測できてしまう問題、2つ目はファームウェアの脆弱性です。いま2つともベンダーさんへの修正を依頼している状態です。

川口：パスワードが推測できてしまうのはヤバイですね。昔は、初期パスワードは全部固定で、マニュアルに書いてあったりWebに書いてあったりしました。最近は「パスワード変えようぜ」の流れになってきましたけれど、まだまだ脆弱な状態ですね。

三村：ルーターで初期パスワードを入力すると「変更してください」ってすぐ出てくるとか、1発目に接続したときに「パスワード設定してください」って出てくるといった実装は、やっぱり、いいなと思いますね。とはいえ、例えば小型のホテル用で使うようなものだと、ルータの裏に書いてあるパスワードを見てすぐにインターネットに繋ぎたい、というニーズもあると思うんですよね。

川口：ユーザーのリテラシーとスピードを考えると、そんなに面倒なことしたくないのも分かるのでそこは難しい実装ですよね。いつも自分が使ってるものならともかく、レンタル用だったりすると特に難しい。

パスワードの問題は使うシチュエーションを考えると一筋縄にはいかない問題があるってことなんですね。パスワード固定から卒業して、パスワード変えようぜっていうステージに来たからこその新しい悩みではありますが。

三村：ファームウェアの脆弱性の方は、とある製品のアップデート機能に問題があって、正しいファイルかどうかの検証が不完全なものがありました。アップデート機能を利用して、任意の情報を保存できるようになっていたんです。

川口：最悪ですね。セキュリティ機能はちゃんとしておいて欲しいですね。

木藤：ファームウェア問題は難しいですよね・・・。例えば組み込みで痛い目見ると、「署名を入れよう」とか、「署名付きじゃないと受け付けないっていう機能を入れねば」ってなると思うんです。弊社の場合は、DES暗号を破った松井さんをはじめとして、暗号のスペシャリストが多いんですが、それでもやっぱり、ファームウエアに署名入れて、組込みシステムの上でファームアップ検証とか、要求スペックとか予算の都合上、やっぱり難しいですね。

川口：技術的には可能だったとしても、ハードウェアスペックとか予算とか、制御のタイミングとかシビアな話が出てくると、必ずしもそれが正しいのかということにはなりますよね。モノが動かないのにセキュリティも何もないですから。

木藤：まずは動いてなんぼですからね。

川口：シチュエーションによって必ずしも答えは1つではないし、開発コストを払ってまでやりますかという話もありますね。さっきのシステム同士を接続する話もそうですが、今後考えていかないといけないところですね。

“楽しい” “面白い”を広げて、一緒に守る仲間を増やしたい

川口：2人とも現在20代ですが、セキュリティ業界の景色はどう見えてるんですか。自分は今40代で、君たちとは見えてる世界が違うのかなと思っているので、「こういうことやった方が良いのでは」「こんなことがやりたい」ということがあったら語って欲しいです。

木藤：20代から見たセキュリティ業界・・・ですか。

川口：「おっさん多すぎる」とか思ったりしないですか。「そろそろ俺たちが常識変えてやるよ」とか、「定年延長必要ないだろ」とか、「マウンティングいらないよ」とか。

木藤：川口さん、まだ昼間ですよ（笑）。

三村：私の場合は、“セキュリティ業界”や“セキュリティ”そのものを主軸として何かしようという活動や視点はあまり無くて、純粋に「プログラマ」「エンジニア」である、という気持ちでやってきています。自分自身の興味関心で突き進んでいたらいつのまにかセキュリティ屋さんという立場にいたという感じですね。

ですから、これからも私は自分がやりたいこと、目指したいこと、提供したいことを、ハイクオリティでアウトプットしていきたいと思っていて、脆弱性の試験もその延長線上にあります。いろんな方が時間を掛けて創ってきた新しい技術やツールを、お客さまにより良く、より長く提供できるようにするためにはどうしたらいいかをずっと考えて、探しているだけですね。

セキュリティ業界的に「正解」を探そうと思えば、こういう資格受けたらいいとか、こういう勉強をした方がいい、という答えはあるかもしれませんけど、コアの部分で「遊ぶ」とか「楽しい」を追い求めないと、面白くないなと思っています。ですから、「面白い」と思う事をどんどん世の中に発信していきたいですね！ 今も、参加した勉強会のレポートを会社のブログに書いてくれと依頼が来ていますので、頑張って書きたいと思います。

木藤：僕は、仕事としては「日本を守るセキュリティ」をしていますが、個人としては草の根活動として、日本のセキュリティを守る「同志を増やしていきたい」ですね。そのために勉強会や、学生さんと個人的に繋がったり、飲みにいったりというようなことをしながら、仲間をどんどん増やしていきたいですね。

川口：これからの、お二人の活躍に期待しています！