続・IoT時代の「走る凶器」

『野村週報』15年7月27日号の記事「自動車のネットワーク端末化」に、その「課題として、セキュリティ対策が挙げられる。自動車が常時インターネットに接続されると、外部から不正侵入し自動車を遠隔操作されるリスクが増大する。これは個人情報漏洩といったレベルの話でなく、人命に直結したリスクとなる。インターネット、スマホビジネスのように事業展開と並行してセキュリティ強化を図るというやり方は通用しない。完璧なセキュリティ対策を実施してからサービスを行うことが必須となる」との指摘があります。


自動車のハッキングリスクに対する防衛手段としては現状、大きく言って次の2つのアプローチで対策が試みられています。一つは「車両内ネットワークの暗号化」で、パソコンで言えば「インターネット通信時の暗号化」のイメージです。之に関しその効果は高いものの、導入に際しては乗り越えねばならない困難が非常に大きいのがデメリットです。そしてもう一つは「車両に対するサイバー攻撃の防御」で、パソコンで言えば「ウイルス対策ソフト」のイメージです。之に関しては導入のハードルが比較的低く、効果も見込み易いのが特徴です。当社子会社SBIインベストメントの出資先「自動車特化型サイバーセキュリティーソリューションを提供するイスラエルベンチャー、Argus Cyber Security Ltd.」のソリューションは之に当たります。

例えば、あるモバイルセキュリティー大手の共同ファウンダーでありCTOのKevin Mahaffeyという人は「まだ始まりにすぎない」と言及しつつも、「全メーカーがこのガイドライを実施すれは、自動車のサイバーセキュリティーは飛躍的に向上するだろう」として次の具体的方策を挙げています。それは「第一に、セキュリティー脆弱性が見つかるたびに高価で時間のかかるリコールを行わずに済むために、無線アップデートシステムが必要だ。第二に、メーカーはインフォテイメントシステムと、重要な運転システムを分離し、両者間の通信を密に制御する必要がある(中略)。第三に、メーカーは何らかの攻撃が成功して個々のソフトウェア部品を占有することを想定し、仮に攻撃者が一つのシステムに侵入しても、自動的に車両全体へのアクセスが可能にならないようにすべきだ」という3点です。

振り返って見れば今年に入っては代表的事例だけ挙げてみても、年初より「ProgressiveのSnapshotツールに脆弱性:車のハッキングの可能性も」(1月)、「ドアロックを勝手に解除、BMWがスマートフォン操作機能の脆弱性を修正」(2月)、「トヨタなど相手 米で集団訴訟 リコールや賠償求める」(3月)等々、自動車セキュリティーに関するニュースは以前に比し劇的に増えており、欧米を中心として法制化の流れが出来ています。

此のほぼ同時期には米国議会で、上院議員であるMarkey氏が自動車サイバーセキュリティーに関する報告書を発表し、「無線通信や遠隔操作を通じて、数百万台の自動車の安全性やプライバシーが危険にさらされている」ことを明確に指摘して、更に「この新たな無線通信時代において、自動車に乗る人々の安全とプライバシー保護を確実にすることを自動車メーカーに要求する必要がある」と言明し、当該産業への規制強化を示唆するという動きもありました。

そして7月、前回ブログで述べたように著名ハッカー2名および専門誌がクライスラー車のサイバーハッキングを実施し映像を公開したわけですが、その直後米国では此のMarkey氏およびBlumenthal氏の両上院議員が自動車サイバーセキュリティー義務化に係る具体的な法案の枠組みを発表し、自動車サイバーセキュリティーの基準を定めてセキュリティー水準を計るレーティングシステムの提起を行ったというわけです。

日本でも以前より議論自体は行われていますから、そう遠くない将来に何かしらの法制化もしくはセキュリティーに対する指針、あるいは業界ルール等が策定されるに違いありません。此のハッキングリスクに対する理解を一段と深めると共に、その法制化の動きに対し急を要して行くというスタンスなかりせば、私は「個人の深刻な安全問題になるだけでなく国家の安全をも脅かす」ことになるのではと危惧しています。

今年で18回目を数えた情報セキュリティーの世界最大イベント「ブラックハット」が此の8月米国で開催され、ある講演で米国の著名ハッカーが「将来は飛行機のなかから人工衛星を乗っ取れる」と説明し話題を呼んだとの報道もありました。先々月7日の日経新聞朝刊記事に拠れば、「ネットによる遠隔テロが現実味を帯びたのは10年。イランの核施設がサイバー攻撃を受け運転停止した」ところからで、今「発電所など日本国内の重要インフラ事業者を狙ったサイバー攻撃は14年度で1257件と1年間で3倍になった」という現実を直視し、「企業は製品・サービスの開発の初期段階から、遠隔テロをいかに防ぐかという視点を盛り込んでいく必要があり」ましょう。

私は本年4月末のブログ『「官邸ドローン事件」に思う』の中で、『此のドローンに対し一刻も早く適切な規制が施されねば大変な事象が生じ得る危険性がありますし、仮にそれを施したとしても「ドローン無法地帯」の中で買い溜めた連中がそれを用いて犯罪行為を仕掛けてくるリスクは依然残されたままではと憂慮しています(中略)。中国で簡単に作られ(液体)爆弾も搭載出来るとなれば、「IS(Islamic State、イスラム国)」のような過激組織が自爆に代わるテロ行為に用いるリスクは想像に難くないわけで、多くの犠牲者を生む凄惨な事件が起こりはしないかと、私は非常に心配をしております』と述べました。

そして上記に続けては、『ドローンを巡る「革新」は日々様々な形で行われています(中略)。こうした「革新」にあって常に言い得ることですが、マイナス面ばかりを指摘するのでなく既存物の代替的なものになって行く可能性が高いものでありますから、ドローンが創造し得るプラスの側面に関しても、我々はきちっと目を向けるべきだと思います』と書きました。

海外ではドローン「乗っ取り」ということも試されており、此のドローン同様2度に亘って長々と述べてきた「つながる車」についても、その制御システムがハッカーに乗っ取られ正常にワーク出来なくなったらば、彼らの思い通りに様々な事柄が遠隔で操作されてしまうのです。仮にその彼らがISの連中で「自動車ハッキング」「飛行機ハッキング」などの類を起こし得る技術を握るとなったらば、国家の枢要な人間の生命が危ぶまれるということにもなりかねません。我々人類は、「つながる車」の運用リスク次第で起こり得る大惨事を認識し最悪の事態等を想定した上で、今正に法整備を含めた安全管理体制の取り組み強化が求められているのです。

BLOG:北尾吉孝日記
Twitter:北尾吉孝 (@yoshitaka_kitao)
facebook:北尾吉孝(SBIホールディングス)