今月、デバイス セキュリティに関する話題がニュースを賑わせました。スマート デバイスの IoT セキュリティに関する提言、Android によるセキュリティ重視、Uber の訴訟などです。
議員によるスマート デバイス セキュリティ強化要請
モノのインターネット(IoT)の重大なセキュリティ脅威が顕在化したのは、2016 年 10 月に Mirai マルウェアに感染した監視カメラなどによって構成されたボットネットが、DNS サービス事業者の Dyn を攻撃した事件がきっかけでした。このとき使われたのは、Dyn のサーバーに対する DDoS(分散型サービス拒否)攻撃です。毎秒、複数のリクエストを送りつけることで、感染した何百万ものデバイスからのリクエストを DNS サーバーが処理しきれなくなり、アメリカとヨーロッパ中のウェブサイトがダウンしました。
この数年間、IoT デバイスのセキュリティ対策はお粗末だと決まり文句のように言われてきました。よって、今週イギリス政府が、あらゆる接続デバイスについての実践規範の提言を含む IoT デバイスのセキュリティに関する報告書を発表したのは歓迎すべきことです。
政府のテクノロジーに関する声明は的外れなことも多いですが(「オーストラリアの法は数学の法則に勝る」というオーストラリアのマルコム・ターンブル首相の発言は忘れられません)、イギリスのデジタル・文化・メディア・スポーツ省は IoT デバイスの問題点を的確に把握し、合理的な実践規範を提案しています。
実践規範ではまず、多くの IoT デバイスの重大な弱点であるデフォルト パスワードをやめるよう求めています。使用しているデバイスに固有のパスワードが設定されていないこと、つまり、新しいデバイスでは必ずパスワードを変更する必要があることを知らない消費者は多いため、この施策は IoT のセキュリティ向上に大いに役立つはずです。
また実践規範は、脆弱性開示ポリシーの策定を促しています。これにより、以下のことが可能になります。
- 研究者などがすぐに問題を報告できる
- 必要に応じてソフトウェアをアップデートし、デバイスの機能を詳細に監視する
- 認証情報を安全に保管し、インターネット経由で送信されるすべてのデータを暗号化する
実践規範はさらに、すべてのデバイスやサービスは最小権限の原則を適用する必要があるとしています。つまり、ユーザーに必要以上のアクセス権を与えず、デバイス上のソフトウェアをセキュア ブートで検証し、管理者の承認がなければ危険なソフトウェアに接続できないようにするということです。
その他にも、個人情報の保護、停電時におけるシステム レジリエンスの確保、ユーザーによる個人情報の削除を可能にすること(これは、まもなく施行される EU 一般データ保護規則にも含まれています)を求めています。さらに、デバイスのインストールやメンテナンスが簡単にできるようにすること、IoT プロバイダーはハードウェアやソフトウェアのセキュリティ上の問題について収集する計測データを監視することが提案されています。そして最後に、不正にフォーマットされたデータやコードによるシステム侵害を防ぐため、あらゆるデータ入力の検証が必要であるとしています。
セキュリティの観点から見ると、IoT デバイスが高い頑健性と信頼性を備えるには、まだまだ時間がかかります。この先しばらくは、ぬいぐるみ「CloudPets」からの情報流出といったニュースがセキュリティ専門家たちを悩ませることでしょう。しかし、この実践規範は状況改善に向けた第一歩です。
プライバシーの P
今週、Android ウォッチャーが注目したのは、Google の次世代モバイル オペレーティング システムに関する計画です。Google は水曜日に、現在 Android P と呼ばれている次期バージョンの最初の開発者向けプレビュー版を発表しました。
Android は長い間、他のプラットフォームと比べてセキュリティに問題があるとされてきました。ルーツがオープンソースにあり、誰もがコードを入手して変更できるため、攻撃に対して脆弱で、プライバシー管理に優れているとも言えません。しかしこの最新バージョンにおいて、Google は明らかにセキュリティ機能の強化を重視しています。
大きな変更点として、Android P ではすべてのアプリ トラフィックがデフォルトで暗号化されます。ただし、開発者はアプリごとにこの機能をオプトアウトすることができます。Google は、プレビュー版を発表したブログで次のように説明しています。「特定のドメインについてクリアテキストを明示的にオプトインしない限り、TLS 経由で接続する必要があります」
さらに、アイドル状態のアプリからスマートフォンのマイクやカメラ、センサーにアクセスする際は、アクセスしていることを必ず通知する必要があります。Google は開発者に対し、次のように説明しています。「アプリの UID がアイドル状態のときは、マイクは空の音声を報告し、センサーはイベントの報告を停止します。アプリが使用するカメラは切断され、アプリがカメラを使用しようとするとエラーが発生します」
さらに Android P では、デバイスのクラウド バックアップの保護が強化されます。スマートフォンを復元する場合、これまでと同じように保存されたバックアップからデータを選択できますが、データにアクセスするにはデバイス上でロック コードを入力する必要があります。バックアップは暗号化されているため、ロック コードを知らなければ、Google であってもアクセスすることはできません。
ウェブ閲覧時の保護も強化されます。アプリ トラフィックを強制的に HTTPS 経由にするだけでなく、ユーザーの MAC アドレスが難読化されます。MAC アドレスとは、ネットワーク上のデバイスを識別する固有の番号です。ネットワークごとに MAC アドレスをランダムに生成できるようになるため、マーケティング担当者がユーザーやスマートフォンを追跡するのが困難になります。
このプレビュー版は開発者向けに公開されたものですが、まだ初期バージョンのため、安定性に欠ける場合があり注意が必要です。試す場合は、お使いの端末に手動でインストールする必要があります。現時点では、Google の Pixel、Pixel XL、Pixel 2、Pixel 2 XL の各端末でのみ利用できます。より包括的なベータ プログラムの公開は、5 月の Google I/O 以降になると見られています。
Uber、データ漏洩で訴えられる
Uber はこれまでに、運転手や顧客のプライバシーに関する方針について多くの非難を浴びてきましたが、今週、さらに評判を落とす事態が起きました。ペンシルバニア州のジョシュ・シャピロ検事総長が、データ漏洩を適切な時期に発表しなかったとして、同社を提訴すると述べたのです。
この訴訟は、2016 年 10 月にサイバー犯罪者によるデータ窃盗事件が起きた際、Uber がペンシルバニア州の運転手 13,500 人に対し、彼らの個人情報が流出したことを通知しなかったのは同州の漏洩公表法違反である、というものです。
この事件では全米 5,700 万人が影響を受けたと見られています。さらに昨年 11 月の Bloomberg の報道によれば、Uber はデータ窃盗の事実を隠蔽するため、犯人とされる人に 10 万ドルを支払ったということです。
Uber はこの情報流出について 1 年以上も公表しなかったため、シャピロ氏は「Uber がこの重大なデータ流出について適切な時期に住民に報告しなかったのは、ペンシルバニア州法に違反する」と主張しています。
シャピロ氏はさらに、「Uber は情報が流出した消費者に対し、合理的な期間内にその事実を通知せず 1 年以上も隠していた上に、ハッカーにお金を払って盗んだデータを削除し、情報漏洩の事実を口外しないよう求めた。これは企業として許されない不正行為であり、Uber の責任を追及し、ペンシルバニア州民の被害を回復するために訴訟を起こす」と述べました。
情報漏洩を公表する期限は定められていませんが、シャピロ氏らは、ハッキングの事実を 1 年以上も公表せず隠蔽工作までした(とされている)のは「合理的」とは言えない、と考えています。