変わるサイバー攻撃(下) 揺らぐ製造業 完成品、求められる「対策」 2015/10/15 本日の日本経済新聞より

今日の日経注目記事は、日本経済新聞の企業面にある「変わるサイバー攻撃(下) 揺らぐ製造業 完成品、求められる「対策」」です。





 「上司がこの情報を知ったら、責任が問われる。ここだけの話にとどめてほしい」。国内電機大手のシステム担当者は涙目で懇願した。今春、外資系セキュリティー大手の営業担当者が最新のウイルス検知装置を売り込みに行ったときのことだ。

ジープ遠隔操作

 社内システムで装置を動かすと複数のウイルスが外部サーバーと活発に通信する様子が映し出された。同じ設計図を使ったとしか思えない薄型テレビが中国メーカーから売り出された理由は、情報流出だったかもしれない。システム担当者はこの装置を買わず、ウイルスは放置されたままだ。

 ウイルス攻撃は、かつて個人情報の抜き取りが主な目的だった。闇サイトを通じ、メールアカウントやクレジットカード情報をやり取りすれば相応の利益が得られた。上乗せする形で増えているのが製造物を狙う攻撃。設計図や特許情報は売っても使っても巨利をもたらす。「国ぐるみ」の攻撃者は安全保障にかかわるような産業機密に目を向け、製造物を通じたテロの可能性も高まる。

 「米FCAUS(旧クライスラー)は知らずに部品を買っただけだが、それでは済まない」。8月上旬、米ラスベガスでのイベントで著名ハッカー、クリス・バラセック氏は「ジープ」を乗っ取る方法を公開した。基板に組み込んだソフトの脆弱性を利用してハンドルやブレーキを遠隔操作できることを示した。

 FCAUSは欠陥を認め「リコール(回収・無償修理)」として処理した。完成品メーカーは部品を品質とコストだけでなく、セキュリティーの観点からも再評価する必要に迫られる。

 世界の製造業はセキュリティー対策を軽視する傾向が強かった。サイバー攻撃の性質上、完全な防御は難しいことが対策をおろそかにする矛盾を促した。標準的な対策を怠らなければ「欠陥」として製造者責任が問われにくかった。

IoTで懸念

 セキュリティー研究者のスコット・アーベン氏は医療機器に着目する。「大半はサイバー攻撃対策が全くない」。医療機器は販売に厚生当局の認可が必要。真面目にソフトを更新すれば、再認可を求められて販売できないリスクになる。心臓に不安を抱えるディック・チェイニー元米副大統領は体に埋め込んだ除細動器の無線機能を任期中、使えないよう設定していた。サイバー攻撃で命を狙われる恐れがあると判断したからだ。

 モノのインターネット化(IoT)が進むとサイバー攻撃の懸念は一気に高まる。セキュリティーを巡る訴訟が頻発する時代は近い。「製品が満たすべきセキュリティー基準を示す指針もできてくる」(米スタンフォード大ディレクターのジェニファー・グラニック氏)とも言われている。メーカーはソフト部門に十分な人員を確保し、技術的な備えを進める努力が欠かせなくなる。

 浅山亮、兼松雄一郎が担当しました。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です