近藤 賢志
ユビキタス・コンピューティング、またはユビキタス・ネットワークの概念を簡潔に表すならば、あらゆる情報端末や機器またはICチップを埋め込んだものが、有線・無線などの多様なネットワークに接続されたネットワーク環境、利用形態ということができる。実空間のあらゆるところにコンピューティング能力が偏在し、利用者はその実態を意識する事なく多様なサービスを利用する事ができる。そのようなコンピューティング環境を実現するためのネットワーク基盤技術として、IPv6が利用されてゆく事が期待できる。
では、このようなユビキタス・ネットワーク環境におけるセキュリティ上の脅威はどのようものが考えられるのだろうか?
セキュリティ脅威度は3つの要素によって決まる
セキュリティ上の脅威のうち、不正アクセス、サービス妨害、ウイルス、ワームなど不正プログラムなどによる脅威度は3つの要素によって表すことができる。
『ネットワーク接続性×技術情報の入手性×攻撃者のモチベーション=セキュリティ脅威度』
・ネットワーク接続性
現在のインターネットにおける、これらのセキュリティ脅威を振り返ってみるとわかりやすい。
スニーカーネットワークと言われていた時代、あるいはオフィスにLANが導入され始めたネットワーク初期段階では、これらのセキュリティ上の被害や脅威は、攻撃の経路や媒介となるメディアの物理的な接続性がない限り非常に限定的なものであった。
ウイルスの大規模感染被害や広域で大規模なDoS攻撃、不正侵入などの被害件数は、ネットワークの拡大、インターネットの普及ともに急速に伸びている。ネットワーク接続性はセキュリティ脅威度を押し上げる大きな要素の1つである。
・技術情報の入手性
技術情報の入手性とは、攻撃のために必要な技術情報をどれくらい簡易に取得できるかを示す。技術情報が広く公開されており、また簡単に試行錯誤を行う環境や開発ツールなどを整える事ができるのであれば、攻撃者に取って攻撃のための労力は大きく軽減される。
しかしながら、情報入手の容易性は、あくまでもセキュリティ脅威度を高める1つの側面であって、技術情報が非公開のブラックボックス的なシステムや機器であっても、十分な時間と技術を持った攻撃者によるリバースエンジニアリングに対しては、解析困難性を高める意外の効果はあまり期待できない。これらの労力をいとわない攻撃者は、技術情報の非公開のハードルを越える事はそれほど難しいものではないと認識しておく必要がある。
・攻撃者のモチベーション
残る要素である攻撃者のモチベーションあるいはインセンティブだが、従来までは純粋な技術的興味やチャレンジ、あるいは自己の技術力の誇示や自己顕示といったものが主なモチベーションであった。フィッシングやBotnetなど、金銭的な利益を得る手段として強い目的意識をもった攻撃者の出現により、攻撃者の技術や労力に掛けるコストなどは飛躍的に増加する事が予測され、かつ組織化が進みつつある。
このような攻撃者のモチベーションの変化やバックグラウンドの変化は、強い目的意識と組織的、継続的、計画的で大規模な攻撃を生み出し、結果としてセキュリティ上の脅威の深刻化、そして被害の拡大へと結びつく事が考えられる。
・IPv6が従来の情報機器に与えるセキュリティ上の影響
上記の要素をふまえて考えるならば、既存の機器がIPv6対応になる事によって、セキュリティ脅威はどのように変化するだろうか。影響を与える要素としては『ネットワーク接続性』の向上という点になる。基本的に、IPv4とまったく同じようなネットワーク利用を行っている場合においては、セキュリティ上の脅威の質や内容は大きく変化するものではない。
IPv6の特徴として、基本的に機器がグローバルユニキャストアドレスを持ちインターネット上からのネットワーク到達性を持ち、NATなどの間接的なインターネット接続を利用しないというものがあるが、これについても、いままでIPv4環境で、グローバルアドレスを割り当てて運用していたサイトにおいては大きな変化ではない。むしろ、これまでIPv4でのネットワーク環境に慣れ親しみ、NAT配下でのインターネット接続を当然の事として考えてセキュリティ対策を考えていたならば、IPv6導入を機会としてセキュリティ対策意識の転換が必要となる(※注)。
では、IPv6の積極的な利用が考えられる情報機器などのユビキタス・ネットワーク時代ではどのようなセキュリティ上の脅威があるだろうか。
ユビキタス・ネットワーク時代でのセキュリティ脅威
DVD/HDDレコーダーや、デジタルオーディオプレイヤー、ゲームコンソール、携帯端末など、いまや身の回りにはさまざまなデジタルガジェットが溢れている。デジタル・ハブやメディアコンソールなど、これらの非PC機器のネットワーク化が進んでゆくことになるだろう。
このようなコンシューマ機器だけではなく、インテリジェントビルに代表されるような環境インフラの中に埋め込まれたセンサーや各種制御機器などもIPv6によるインターネットテクノロジーを基盤としたネットワーク環境の利用へと進み始めている。
種々雑多なインターネットクラウドにおいては、従来までのコンピュータ然とした機器だけではなく、これらの機器も同様にセキュリティ上の脅威にさらされる可能性があることを認識しておく必要がある。機器のサイズ、処理能力、オペレーティングシステムなどの違いはあるにしても、メモリー、CPUなどコンピュータとしての基本的な構成要素はPCと同様である限り、技術的にはPCと同じようなセキュリティ上の攻撃が可能と考えられる。
先ほどの3つの要素で表される条件が整えば、PCと同様なセキュリティ上の脅威が現実の問題として深刻化すると言えるだろう。
セキュリティ脅威が顕在化する前提条件として、一番大きな影響のある要素はネットワーク接続性である。スタンドアロンの機器であれば、物理的な接触以外に外部からの攻撃を受ける危険性はない。
ビル管理ネットワークなどのように、物理的に系が分かれているクローズドなネットワークも危険性は低いといえる。しかしながら、ネットワークのIP化によって、1つの物理回線上に多様なサービスが重畳されることにより多様な端末やサービスが1つのネットワークにつながり、論理的なネットワークセパレーションを跨いだ攻撃を受ける危険性を考慮しなければならなくなるだろう。
また、完全にクローズドなネットワークであっても、サービスマンがメンテナンスのためにネットワークに接続したPC上に感染していた不正コードなどによって、セキュリティ攻撃を受けるという事例もあり、ネットワークに接続されるあらゆる経路について対策がなされる必要がある。
このようにユビキタス環境でのIPネットワークにおいては、機器自身が自己防衛能力としてFirewallやパケットフィルター、ダウンロードコンテンツのスキャナなどのセキュリティ対策機能を持つことも必要になる。ネットワークからのファームウェアアップデートやソフトウェアのインストールに対しては、プログラムへの電子署名などによる改ざん防止や、ダウンロード先サーバーの限定や管理などによってコントロールする事ができるが十分な対策であるとは言えない。実装上の脆弱性に対する攻撃などにおいては、通信を許可されたプロトコル、ポートに対して不正なデータが送り付けられる。特に、修正パッチが提供され利用者によって適用されるまでの間、これらの攻撃から防御を行うためには不正データやコードを検出するためのパケットレベルでのスキャン機能が重要である。多種多様なネットワーク接続環境を利用するため、それぞれのネットワーク環境にFirewallなどといったセキュリティ機能が設置されていることを期待することは難しく、セキュリティ機能自身をネットワーク側にすべてゆだねる事はできない。
スマートフォンでは、Windows MobileやSymbian OSを搭載した端末に対するワームや不正プログラムがすでにいくつか報告されているが、その脅威が限定的であるのは、それらの感染経路や攻撃経路の多くがBluetoothによるアドホック通信に依存していることに理由がある。フルブラウザーの搭載や、インターネット上のサーバーからのプログラム、メディアコンテンツのダウンロードなど、インターネットへの接続性の向上にともなって脅威度も高まる。
ソフトウェアのセキュリティ脆弱性問題を利用する事によって、実行コードを注入できる画像や音声ファイルなどコンテンツファイルによる攻撃の実例もあり、コンテンツデータを処理するソフトウェアにセキュリティ脆弱性が存在すれば、コンテンツファイルに偽装した不正コードを作成することは技術的にまったく不可能とはいえない。従ってプログラムなどの実行コードをダウンロードしないから安全であると考えることはできない。
・非PCプラットフォームに対する攻撃
いわゆる情報家電などの組み込み機器は、オペレーティングシステムやCPUのアーキテクチャの違いはあるが、基本的な構成は一般的なPCと大きな違いはない。したがって、バッファオーバーフローなどの攻撃手法も同様に行う事は不可能ではない。
PCなどと比較して、これまで攻撃コードなどが多く出てこない理由の1つは、機器それぞれカスタマイズされたハードウェアや独自のソフトウェアを使用しているため、リバースエンジニアリングや解析にかかるコストに対して得られる成果や攻撃の効果が見合わないといった点が上げられる。したがって、攻撃者に取って十分魅力的な対象であれば、PCと同様に攻撃対象として注目されることになる。
組み込みLinuxなどに代表される汎用OSが組み込み機器に利用されることが多くなっているが、これによって攻撃者は攻撃対象のプラットフォームに関して以前よりも容易に技術情報を入手する事が可能になる。
PNGライブラリの脆弱性問題があったが、問題のあったライブラリと同じオープンソース由来のライブラリを使用している機器であれば、その機器にあったCPUのバイナリーコードを作成する必要があるが、脆弱性をついた攻撃コードをターゲットプラットフォームで実行させる事は可能であった。
しかしながら、オープンソース採用がセキュリティ脅威度を上げると考えるのは早計である。ソースコードが公開されている事による、客観的第三者による公開レビューによるセキュリティ問題の発見と修正、コードの信頼性の向上という点を見逃してはいけない。明確な意志を持ち十分な技術と時間を持っている攻撃者であれば、リバースエンジニアリングなどによる独自解析によって、クローズドなターゲットに対しても、このハードルを越えることができる。むしろ、このような場合にはオープンソースかどうかよりも使用されているソフトウェア自身の安全性が根本的な問題となる。
・攻撃者のモチベーションと新たな攻撃ターゲット
ユビキタス・コンピューティング機器が、深く実空間とインタラクトするものであれば、物理的な被害を与える目的で、これらの機器やシステムに対しての攻撃が意図される事は十分に考えられる。
ポータブルゲーム機に対する不正コードの出現を見ても、十分な技術力とモチベーションがあれば、対象となるプラットフォームへの攻撃コードの作成は、技術的には可能である事を示している。ただし、前2種類の条件、とくにネットワーク接続性を十分に持ち得ているかどうかが、大規模な実被害や問題を引き起こすかどうかの必要十分条件であり、それらが整わない限り、単に危険性を示すコンセプトコードであり、実際の被害が想定されるほど深刻でない限り、紙面を賑わすだけであまり真剣に対策方法が検討されない場合が多い。
今日的な対策手法
・セキュリティ機能の実装場所
ユビキタス・ネットワーク環境でのセキュリティ対策を考えたとき、よりコンピューティング能力の小さい機器に対して、従来のPCで利用していた技術・製品をそのまま移行する事は難しい。また、ネットワーク移動性や物理的なネットワークロケーションに依存しない利用形態や、ネットワークへの接続機能の多様性など、現在の一般的なインターネットでのネットワーク利用とは異なる特性を考慮した対策が必要になってくるであろう。
従来的な境界ファイアーウォールなどではなく、機器自身が最小限のセキュリティ機能を実装しネットワークが提供するセキュリティ機能と協調してセキュリティ機能を実現するといった複合的なセキュリティ対策が考えれる。近年、検疫セキュリティモデルに代表されるようなネットワーク接続管理や分散セキュリティモデルなどが現れてきている。
機器自身が、十分なセキュリティ機能を実装するだけの能力を持つことができない場合には、VPNなどのネットワーク技術を利用して、インターネットへの接続はVPNトンネルを経由して行い、トンネルサーバー上でセキュリティ機能を提供する事により、ネットワークへの接続性とセキュリティ機能をネットワーク側で提供することの双方を実現することも考えられている。携帯電話などのシステム構成にみられる携帯電話側のパケット網ネットワークとインターネットアクセスを中継するゲートウェイサーバーの構成と同様な考え方であるが、プロトコル変換、コンテンツデータ変換を行うゲートウェイサーバーに対し、カプセル化したIPパケットをそのまま中継するため、ネットワーク的な透過性は直接的なインターネット接続と変わらずに、アクセス経路とセキュリティ適用ポイントをトンネルサーバーに集約させることができる点が、ユビキタス機器に対しては利点が高いといえる。ただし、このようなゲートウェイ型の対策手法では、配下の機器の台数に応じてサーバー側に負荷が集中するというデメリットもあり、スケーラビリティーにおいて課題が残る。
多くのユビキタス機器においては、ユーザーインターフェイスが限定的であり、なおかつ利用者にセキュリティ設定に関する知識を要求することは難しい。機器上で利用者が直接セキュリティポリシーや設定を行うことは現実的ではなく、管理サーバーより設定を配信して自動設定を行うような仕組みが必須となる。アドホック通信を含む真の分散ネットワーク環境においては、セキュリティポリシーの運用管理とポリシーの配信と機器の管理をどのように実現するかが課題となっている。
今後の展望
ユビキタス・ネットワーク環境におけるセキュリティにおいても、潜在的には従来のインターネット上におけるPCへのセキュリティ脅威度と同様な可能性があるといえるだろう。潜在的なセキュリティ上の脅威は、3つの要素のいずれかが、必要十分な条件を満たす状況になった段階で表面化することになる。脅威が顕在化する前に、いかにしてこれらの新しいコンピューティング環境に対して十分なセキュリティ対策を考えて備えておく事ができるかが重要であるが、具体的な脅威が顕在化していないため、その取り組みは十分に進められているとはいいがたい。
脅威が深刻化してから対応策を考えるのでは、セキュリティに対する漠然とした不安感を払拭する事は難しく、新たなコンピューティング環境の普及の障害ともなる。セキュアなユビキタス・ネットワーク環境の実現のためにも、こうした課題への取り組みが進む事を期待したい。
※注
IPv6普及・高度化推進協議会 移行WG 2005年度版 IPv6以降ガイドライン セキュリティセグメント
http://www.v6pc.jp/pdf/ja-09-v6trans-security-050722.pdf
