今週のSecurity Check(第173回)

 近年,デジタル・テレビやハードディスク・レコーダーなどの家電製品がインターネットに接続されるようになってきた。いわゆる「情報家電」である。家電がインターネットに接続されることにより利便性が高まる一方で,家電“単体”で使う場合には考慮する必要がなかった問題が生じている。セキュリティに関する問題もその一つである。将来的には情報家電のセキュリティ対策が,大きな問題になるとの指摘もある。

 例えば,情報処理推進機構(IPA)による「情報システムなどの脆弱性情報の取り扱いに関する研究会」の「組込みソフトウェアワーキンググループ」では(筆者もメンバーとして参加した),情報家電などのインターネットに接続する組込み機器について,セキュリティ上の懸念事項や,必要と考えられる対策をまとめている[注1]。

注1)情報システム等の脆弱性情報の取扱いに関する研究会 報告書

 開発プロセスを含めた“真正面”からの取り組みは,この報告書を参照していただくとして,今回は,この報告書には記載されていないものの,筆者が気にしている情報家電の諸問題についてお話したい。

情報家電の“困った”ネットの使い方

 情報家電は次々と市場に出ている。そのなかには,インターネットの利用方法として,「間違っているとはいえないが,困った使い方」をしている製品を見かけることがある。その一例が,遠隔地に置いたカメラの画像をメールで送信するようなシステムである。

 そもそも,メールで使用するSMTP(Simple Mail Transfer Protocol)は,リアルタイム性やスループットを保証するプロトコルではないので,目的に沿った使い方がいつもできるとは限らない。また,メール・サーバーを共用している他のユーザーに迷惑をかける可能性も高い。

 時刻合わせをおこなうためのNTP(Network Time Protocol)サーバーに,特定組織のサーバーを考えなしに指定している製品も,「困った使い方」をしている例として挙げられる。

 多くのコンピュータやネットワーク機器は,NTPを使って時刻合わせをおこなっている。NTPサーバーの中には,大学などがボランティアで提供しているものもあり,必ずしも潤沢なリソースを持っているとは限らない。そのようなサーバーを「他のベンダー/製品も指定しているから」という理由だけで指定するのは,その組織に対して多大な迷惑をかけることになる。

 その代表的な例が,2005年の1月に発生した,福岡大学のNTPサーバーへのアクセス集中である。ネット上で公開されている資料などには,公開NTPサーバーの例として,福岡大学のNTPサーバーのアドレスが記されていることが多かったため,このアドレスをデフォルトのNTPサーバーとして設定しているネットワーク機器やソフトウエアが少なくない。アクセス集中は,これらの困った設定が原因の一つだったと考えられている。

 なお,日本版Wikipediaの「Network Time Protocol」の項目には,「福岡大学を指定している機器やソフト」ページへのリンクがあるので,該当する機器・ソフトを使っている場合には変更しておきたい。

 情報家電のメリットの一つとして,インターネット経由で最新の設定情報などを取得できることが挙げられる。このメリットも,場合によってはデメリットになる恐れがある。例えば,大規模な停電が起きた場合などは,復旧後に,多数の情報家電が一斉に最新の情報を取得しようとサーバーにアクセスして,サーバーやネットワークに負荷を与える恐れがある。

 情報家電においてはこのような事例を確認していないが,電話回線を利用しているあるシステムでは,このような問題が発生したと聞いている。ある地域に停電が発生して復旧した際,そのシステムが一斉に電話をかけたために輻輳(ふくそう)が起きて,電話が一時的につながりにくくなったという。情報家電でも,同様の問題が発生する可能性は十分になる。

設計外の使い方を考慮していない

 情報家電の中には,設計外(想定外)の使われ方を考慮していない製品が存在する。これも,大きな問題だと考えている。通常の家電であれば,家電を利用するのはその製品を購入したユーザーなので,設計外の使用で問題が生じても,ベンダーとしては「設計外の使い方であり,お客様の問題です」と応じられるだろう。

 だが,インターネットに接続した情報家電ではそうはいかない。攻撃者や悪質なプログラム(ワームなど)に想定外の使われ方をされる恐れがあるからだ。

 例えば2004年10月,あるハードディスク・レコーダーが,匿名Proxyとして利用されるという問題が起きた。匿名Proxyを探すプログラム(スキャナ)が,そのハードディスク・レコーダーを匿名Proxyとして見つけ出し,悪意のある人物に踏み台として利用された。具体的には,ある掲示板へ大量の書き込みをおこなう際の,身元(ソースIPアドレス等)を隠蔽するためのProxyとして悪用された。

 明らかに「設計外の使い方」であるが,その使い方をしたのは購入したユーザーではなく,悪意のある第三者である。この場合は,それを許したベンダーの責任といえるだろう。この問題はさまざまなメディアで報道され,ベンダーは修正プログラムをリリースした。

パソコンの諸問題が“お茶の間”に

 Webブラウザやメール・クライアント(メール・ソフト)機能を搭載した情報家電が普及すれば,パソコンがなくてもインターネットを利用できるようになる。このこと自体は望ましいことだが,負の側面を忘れてはいけない。現在では,主にパソコン・ユーザーがターゲットなっているネット詐欺などが,“お茶の間”に持ち込まれることになるからだ。

 例えば筆者は,デジタル・テレビにメール・クライアント機能が搭載された場合,有料放送の受信料を“題材”にした架空請求メールが出現することを懸念している。また,Webブラウザを搭載している場合には,フィッシング詐欺の標的にされる可能性もある。情報家電を狙ったネット詐欺では,パソコン・ユーザーを狙うものと比較すると,被害に遭う確率は格段に高いのではないかと考えている。

 メール・クライアント機能を持つ情報家電には,スパム(迷惑メール)が送られてくることも十分に予想される。そうなると,こんな悲劇(喜劇?)が起きるかもしれない。デジタル・テレビで,田舎のおじいちゃんから送られてきたメールを家族で見ているところに,アダルト画像を含んだHTMLメールが到着し,画面いっぱいにアダルト画像が表示される。あわててクリックすると,Webブラウザが次々と立ち上がり,それらすべてアダルト・サイトが表示される。これに味を占めた子供は,深夜にアダルト・サイトをWebサーフィンするようになる・・・。

 以上のような問題は,パソコンでは既に発生している。だが,舞台がテレビになることで,問題はより深刻になる可能性があるだろう。

 ユーザーの利便性を高め,インターネット利用の障壁を小さくする情報家電。メリットだけを挙げていけば魅惑的な製品だが,課題も多い。より安全に,安心して情報家電を利用できるようにするには,開発・設計段階からこういった課題を十分に検討する必要がある。

 だが,情報家電などの開発している方には,筆者のような“セキュリティ屋”の言っていることは,なかなか受け入れがたいようだ。「それほど重要ではないことを,ことさら大げさに言っているだけ」と思われるケースが少なくない。

 しかし,過去に発生した数え切れないほどの個別の事件に対する再発防止策をベスト・プラクティスとして積み重ねたものが,現在の情報セキュリティであり,決して思いつきで述べているわけではない。今は小さな問題にしか見えなくても,情報家電が普及すれば,取り返しのつかないような大問題に発展する可能性がある。普及の途上にある現在が,情報家電の設計思想などを見直す最後のチャンスであるように思われる。開発者の方には,“セキュリティ屋”の言うことに,少しは耳を傾けていただければ幸いである。


高橋 正和
インターネットセキュリティシステムズ
最高技術責任者,エグゼクティブ セキュリティ アナリスト

 ITpro Securityが提供する「今週のSecurity Check」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を解説する技術コラムです。セキュリティ・ベンダーである「インターネット セキュリティ システムズ株式会社」のスタッフの方々を執筆陣に迎え,分かりやすく解説していただきます。(編集部より)

日経 xTECH SPECIAL

What's New!

経営

クラウド

アプリケーション/DB/ミドルウエア

運用管理

サーバー/ストレージ

ネットワーク/通信サービス

もっと見る