本記事は、無線（OTA）によるソフトウェア更新に関して、7回に渡ってお届けする連載ブログの第2回目です。 第1回目では、リモートによるソフトウェア更新を提供するのが重要な理由について詳しく説明しました。今日の世界では、接続されたデバイスを更新しなければその安全性を確保できないためです。本日の記事では、別の方向に話を進めていきます。ソフトウェア更新システムが非常に危険なものとなり得る理由と、更新システムは注意深く用心して扱う必要がある理由について解説します。

リモート更新システムが実行する内容を考えれば、このシステムが非常に重要な理由は明確です。ソフトウェア更新システムは、当然ながら、インターネットからソフトウェアをダウンロードしてルート権限で実行します。IoTシステムであれば、多くの場合、ユーザーの介在なくこの処理が行われます。前回も言及しましたが、リモートで悪用可能なデバイスにセキュリティーの問題があると深刻な事態を招く可能性があります。しかし、無線アップデートのシステムに対する侵害が起こればそれはいっそう深刻な問題になります。そのシステムを利用して更新を行うデバイス全てが感染して乗っ取られ、ランサムウェアの「人質」となる可能性があるためです。

ソフトウエア更新システムが、攻撃者にとって格好の標的になることは簡単に想像がつきます。しかしそれでは、実際のところはどうなのでしょうか。現実にも、過去10年に発生したサイバー攻撃のうち、悪名高く、損害が大きかったもののいくつかは、ソフトウェア更新システムを侵害することで実施されたものでした。

この危険性について理解するため、特に学べることの多いケーススタディーを見てみましょう。2017年、世界中で企業内の重要なPCに対するランサムウェア攻撃が広まる事件が起こりました。感染が始まったのはウクライナでしたが、その後感染は世界中で確認され、最終的には1万2500台のマシンが感染しました。ブラジル、ロシア、米国を含む64か国の企業が損害を受けたのです。この攻撃が特に注目された理由は、攻撃を受けたコンピューターの種類にあります。多くの場合、最初に感染したのは財務や会計、フルフィルメント部門のコンピューターだったのです。これにより経済には大きな混乱が起こりました。一部の企業では、支払いや注文処理を行うことができなくなり、米国国土安全保障省当局による推定では、被害総額は100億ドルに上りました。

後に、M.E.Docという会社が販売した税金確定申告ソフトウェアが共通点だったことが判明します。このソフトウェアを製作した会社は、税金関連の規則や手続きの変更に対応するためにソフトウェアを更新するのが重要なことを理解していたため、ソフトウェアに自動更新機能を組み込んでいました。攻撃者はこの更新システムを乗っ取ったのです。さらに、この更新システムは、攻撃者が好きなソフトウェアを何でも配布することができるような仕組みになっていました。ソフトウェア更新システム構築について検討、考慮し始める際によくあるのですが、セキュリティー問題は基本的な暗号化を利用すれば簡単に解決可能で、セキュリティー対策の実施は比較的簡単なものだ、と考えられていることがあります。しかし、特にIoTでは、まったく明白な事項以外にも考慮すべきことが数多くあります。

先のセクションを読んで、この企業は何か明白な誤りを犯したに違いない、同じ落とし穴に陥ることは絶対ないと思っていらっしゃるかもしれません。しかし、更新システムの侵害は小規模企業だけで起こるわけではありません。例えば、マイクロソフトのような企業なら更新システムの安全を守れるはずと思われることでしょう。しかし史上最も有名といってもよいマルウェアで、イランの原子力施設に多大な損害を与えたワーム、Stuxnetの攻撃ベクターとなったは、些細ながら致命的なWindows更新の欠陥でした。

本連載の次の記事では、更新システム実装で起こる問題について詳しく解説します。上記のケースで何が起きたのか、また、そのほかの注目されたソフトウェア更新システム侵害の事例もいくつか見ていきます。本記事で理解していただきたいのは、ソフトウェア更新システム（およびこれを保護するセキュリティーフレームワークまたは設計）は、会社全体のインフラストラクチャーにおいて危険度が最も高い部分となり得ることです。単一障害点を回避し、部分的に攻撃または侵害されてもユーザーや会社全体を危険にさらすことのないよう、優れた回復力を念頭に設計を行う必要があります。本連載を引き続きお読みください。詳細な手法を解説します。

記者:
Jon Oster, Platform Development Lead, Toradex

コメントを投稿