セキュリティフォーラム2023オンライン開催(その1)~8つの研究成果を一挙に発表!
(一社)日本スマートフォンセキュリティ協会(以下、JSSEC)と(一社)セキュアIoTプラットフォーム協議会(以下、SIOTP協議会)、(一社)セキュアドローン協議会(以下、SDC)は、産業用途の活用が進む「メタバース」を主なテーマに「セキュリティフォーラム 2023 オンライン」を3月1日に開催した。ここでは当日催されたJSSEC、SIOTP協議会の各部会やWGの取り組みに関する8つの成果についてレポートする。
成果①「スマートフォンの利用シーンに潜む脅威 Top10 2023」を公開
成果①は、JSSEC 利用部会 部会長の松下綾子氏(アルプスシステムインテグレーション)が「スマートフォン利用シーンに潜む脅威 Top10 2023」の結果を発表した。コロナ禍により、スマートフォンの利用シーンが変化している。そこで利用部会では、普段から気にしてほしい脅威を第1回目で洗い出し、第2回目で投票してもらってTop10を決定したという。上位3位は「依然猛威を振うスミッシング詐欺」「なりすまし契約とアカウント詐取」「ディープフェイク」だ。
1位のスミッシングとは、携帯やスマートフォンのSMSを悪用した脅威。短縮URLが使われることが多く、クリック率も高いため、用心しなければならない。第2位のなりすまし契約は、他人の情報を入手し、偽造証明書でMNPを悪用したなりすまし契約を行う手口だ。個人による注意だけでなく、キャリアもマイナンバーのJPKIを利用した本人確認の厳格化などを進める必要があるだろう。第3位のディープフェイクは新たな脅威だが、偽動画などは見抜けないため、技術的な対策に加えて、法的な措置も検討しなければならない。
JSSECでは10年前からスマートフォンの脅威をウォッチしてきたが、以前の脅威がさらに多様化しているという。またコロナ禍でSNSやECでの購入が普及し、それらに関連するフェイクや不正サイトも増えた。検索エンジン自体の汚染もある。いずれの脅威の対応も、利用者のリテラシーが求められる。若い世代は大人より知識はあるが、逆に相談すべき相手がいない点も課題になっているという。
成果②「JSSEC モバイルアプリケーション開発10大チェックポイント」とは?
技術部会 マルウェア対策WGリーダーの小笠原 徳彦氏(SHIFT SECURITY)は、成果②として「JSSEC モバイルアプリケーション開発10大チェックポイント」(通称:JSSEC Mobile Top 10」を発表した。
すでにOWASP(Open Worldwide Application Security Project)というセキュリティ団体が、スマートフォン開発者が気をつけたいチェックポイント10選「OWASP Mobile Top 10」発表していたが、2016年を最後に休止しており、JSSECで2022年版を作ろうという話になったという。 JSSEC Mobile Top 10では、OWASPのTOP10とは順番も入れ替わり、新項目が取り込まれている。たとえばM2の「不適切なクレデンシャルの利用」が新しくランクインし、以前2位だった「安全でないデータストレージ」は9位までランク落ちしている。
最も深刻度が高い1位の「プラットフォームの不適切な利用」とは、Androidのセキュリティ機能の誤った使い方で、不動の1位になっている。2位の「不適切なクレデンシャルの利用」は、APIキーやクラウドのクレデンシャルのバーコードなどが対象。リバースエンジニアリングで情報が漏洩して不正利用されるリスクがあるからだ。3位の「クライアントコードの品質と安全性」は、モバイルアプリのコードレベルの実装の問題だ。OSSパッケージに対する脆弱性の不適切な管理も考慮して3位になった。以前、ApacheのLog4jの脆弱性が大問題になったこともあり、サプライチェーンリスクも含められている。
そのほかは上表のとおりで、OWASPからのランクがスライドしたものも多い。ただしランクが落ちた「安全でないデータストレージ」は、スマートフォンの紛失・盗難に伴い、悪意がある第三者からストレージのデータを抜き取られることを想定したもの。現在のアプリではOSによるデータストレージの暗号化が必須となったため、危険度は下がった。
なお、最近になってOWASP Mobile Top 10の再始動がアナウンスされた。そこで今後はJSSECとしての意見を同活動にも積極的に紹介していく意向だという。
成果③最新版セキュアコーディングガイドの紹介
今年で10周年を迎えた「Androidアプリのセキュア設計・セキュアコーディングガイド(通称:JSSECセキュアコーディングガイド)について、ご存じの方も多いだろう。今年度も最新版(第14版)が更新されたため、JSSEC 技術部会 部会長の仲上竜太氏(ニューリジェンセキュリティ)が報告した。
今回の第14版は、Android OSの最新バージョン13の更新を踏まえたもので、昨年8月に公開された。Android 13では、動的Broarcast Receiverや、Notification、メディアコレクション権限など、従来機能で指摘されたセキュリティ機能が強化されており、更新ポイントもそれに準じている。
今年度も次のAndorid 14のプレビューが始まり、最新バージョンのセキュアコーディングガイドの更新が行われる。JSSEC会員で興味のある方は、技術部会のセキュアコーディングWGに参加してみてはいかがだろうか。
成果④学生のスマートフォン利用調査と「セキュリティかるた」
続いて、JSSEC 啓発事業部会 部会長の藤平 武巳氏(NTTコミュニケーションズ)が学生の「スマートフォン利用傾向調査」と、セキュリティ啓発ツールの「セキュリティかるた」について説明した。
スマートフォンの利用状況は、例年と同じ傾向で中学生ぐらいから7割以上が持ち始め、高校生以上では9割が保有。またLINE、Instagram、Youtubeの順にSNSの活動も多くなっている。しかし学生と保護者の認知ギャップがあり、ネットで知り合った人とのつながり、リアルで会う傾向などは、子供が何をしているのか親が知らないケースも多い。
実際には保護者が認知している以上に、学生はスマートフォンやSNSを活用し、その結果としてリスクも高まっている。昨年のヒヤリハット調査では「ウイルス感染を装った不正アプリのダウンロード、ワンクリック、架空請求、詐欺」「知らない人からのアプローチ、ネットでの出会い」「アカウント乗っ取り、なりすまし」などを経験した学生も多かった。多くは外部攻撃を受けているが、保護者はあまり状況が見えていないという。
今年の調査でも、学生の約7割がリスクに遭遇し、大学生の約4割、高校生の約3割が罠に引っ掛かりそうになったという。また約7割が面識のない人からDMを受け取った経験があり、約2割がリアルで会いたい、写真などを要求されたと回答。こういった状況を受けて、JSSECはセキュリティ啓発活動として、遊びながら気づきを得られる「セキュリティかるた」を考案し、主に小中学校の生徒向けに提供している。これにより「個人情報やセキュリティとは何か?」「どんなリスクがあるのか?」「どんな対策が必要か?」といったことを考えられるという。
成果⑤IoTセキュリティ手引書 小型機器編の策定
SIOTP協議会の仕様検討部会からは、座長の豊島大朗氏(サイバートラスト)が、「IoTセキュリティ手引書 小型機器編」について解説した。同部会はIoT機器の実装レベルの仕様づくりを目指し、IoTセキュリティ手引書2版を発行している。第3版は2023年春の発行を予定しているという。
IoTセキュリティ手引書は、IoT機器のセキュリティ対策の項目について、IEEE62443-4とSP800-171rev.2をベースに検討したものだ。ネットワークカメラなどの機器に適用する際に、実用性の高いものへ進化させることを目的として改訂を実施した。
IoTシステムのモデルは、一般的に水平方向にサービス/プラットフォーム/ネットワーク/デバイスという4層の分類となり、垂直方向では設計・製造/サービス運用/廃棄という製品ライフサイクルに分けられる。このうち、垂直方向のライフサイクルを見直し、「企画」「設計」「開発」「製造」「販売」「設置」「運用」「廃棄」に再分類して、各フェーズでセキュリティを検討した。新たに変更になったのは「販売」と「設置」のフェーズだ。
製品販売時のセキュリティとして、国際基準の要件(IEC62443-4-2CR 1,5、SP800-171 3,10)を満たすものとした。たとえばコンポーネントが依存する認証子が保護すること、物理的にアクセスをする際は鍵をかけることが求められている。製品のHSM(Hardware Secuity Module)の実装と、鍵付きケースで実現が可能だ。メーカー側としては、こういった対策が必要な顧客側に対し、対応モデルを推奨することが重要だという。
設置時のセキュリティは、小型IoT機器の場合、一般的に販売業者が基本的な初期設定(ID認証、パスワード強度など)を行う。また運用時については、設置時にセキュリティ機能の有効性が維持される必要がある。たとえばID認証であれば、担当者が異動や退職した際に、国際基準ならば旧IDを削除して新担当にIDを発行することが推奨されている。
同部会では、このようなセキュリティ要件を盛り込んで、課題の再整理と対策を検討しているところだ。なお来年の活動として、IoTセキュリティ手引書から派生したIoT用語を分類して、新たな用語集としてまとめることも検討中という。
成果⑥「セキュアIoT認定プログラム」のリリース
SIOTP協議会の標準化部会では、前出のIoTセキュリティ手引書を受けて、各企業が打つべきIoTセキュリティ対策と、国際標準への適合性を確認する「セキュアIoT認定プログラム」のリリースを予定。同部会 座長の山澤昌夫氏(中央大学大学研究開発機構)と副座長の松本義和氏(サイバートラスト)が、その概要と目的について説明した。
経済安全保障の観点から、サプライチェーンの強靭化や基幹インフラの強化が叫ばれるなか、大企業から中堅・中小企業まで、IoTシステムの脆弱性に起因するセキュリティ事故を未然に防ぐ取り組みが求められている。そこで同協議会では、脆弱性の有無を確認する検査と、ライフサイクル管理(製品性の担保と識別、認証と識別、セキュアアップデート)における国際標準への適合性確認を加えた「セキュIoT認定」を行う。
これまでIoT機器を対象とした国内の認証制度はあったが、項目が多くて認定のハードルが高かった。そこで本IoT認定ではハード、ソフト、システムに項目を絞って脆弱性検査とIoTセキュリティ検査を実施し、基準に達していればセキュアIoTとしてBronze/Silver/Goldを認定する。さらにGold認定では、インフラの重要性などから、グレードに合わせてClass1~4に分ける。認定有効期間は5年で、認定書と認定マークが付与される。
成果⑦パーソナルデータストア部会の発足と活動について
IoT機器を経由して取得した健康・医療データや、睡眠・食事・運動などのライフログの活用、それらをセキュアに蓄積・管理する仕組みなど、パーソナルデータの標準化が進んでいる。SIOTP協議会 パーソナルデータストア(以下、PDS)部会の副座長、南 重信氏(ミルウス)が解説した。
PDS部会は、2022年6月に発足した新しいWGだ。近年、高性能なセンサを介して個人の医療データや、睡眠・食事・運動などのライフログを容易に取れるようになった。それらのデータをスマートフォンやサーバーなどに安全に保管し、データをセキュアに流通させて利活用する仕組みが重要だ。そこで同部会では、データ管理の安全性と利便性の両立に向けて活動していく方針だ。
たとえば、高齢者がセンサやスマートフォンを携帯し、医療機関や介護施設と健康データをつなげることで、安全な形で健全にデータを流通することが可能だ。基本的には、取得データをセキュアに蓄積・管理する仕組みを構築していくが、そのサービスの定義書や、それをベースにしたデータコンテナを作り、さらに本人同意のもと、データを安全に流通させるように業界で検討して、最終的に国際標準化を目指していくという。
ここで目指す標準化(IEC63430)は、情報取得から収集、蓄積・加工・処理、利用まで、統一フォーマットによって、IoTコンテナ上にパーソナルデータを載せて流通していくものだ。コンテナ上にどんな形でセキュアにデータを入れ込むかを部会で議論する。ウェアラブルセンサからのデータをローカルサーバーに蓄積し、サーバー間で流通させ、スマートフォンで閲覧できるシステムを考案中だ。
パーソナルデータを流通させるには、まだ現状では不安もあるため、分散型のセキュアなPDSを実現し、スマートフォンやタブレットなどのエッジ側でデータを安全に管理するシステムを構築する。現在、部会での足並みがそろい、今後はユースケースの絞り込みや、参照アーキテクチャと標準化対象の明確化、実証実験の計画などを策定する予定だ。
成果⑧スマートフォンでつながるデジタル空間の安心安全の取り組み
メタバースは、今後さまざまな分野での利活用が予想される。JSSEC 技術部会 部会長の仲上竜太氏(ニューリジェンセキュリティ)が、メタバースのセキュリティに関する考え方や取り組み、ユーザーができるセキュリティの自衛手段について紹介した。
メタバースでは、3Dバーチャル空間やリッチなショッピング体験や、ブロックチェーンやNFTでのアイテム所有・売買、仮想の土地の投資運用など、さまざま切り口で可能性が語られている。メタバースの基本構成は、アバターやモーショントラッキング、音声よる会話などの「見た目・身体表現」、バーチャル世界に没入する「仮想空間表現」、そこで構築される「コミュニティ・社会基盤」という3要素が挙げられる。
この世界でプライバシーやセキュリティを考慮する場合、従来のWebサイトと比較して、より多くの属性や情報が取得されることを前提にする必要がある。メタバースでは自己のコピーを伴ったアバターや、センサなどの多くのデータが仮想空間に送り込まれ、それが記録される。そこでメタバースのセキュリティには、システム的セキュリティに加え、コミュニティの維持や治安維持の観点が求められる。
すでにメタバース上では、アバターの改造クライアントによる盗難が行われており、それ牽制したり、通報による不正利用の禁止などが行われている。今後も新たに登場する脅威としては、なりすまし、改ざん、否認(攻撃の証拠隠滅)、情報漏洩、サービス拒否(Dos攻撃)、権限昇格(管理者権限の奪取)などが考えられる。それらの対策として、脆弱性診断やチート対策(不正な課金やプレイ)、運営側の治安維持が必要だ。非中央集権的なサービスも登場しており、資産がブロックチェーンに紐づくウェレットで管理される際には、フィッシング詐欺や暗号通貨詐欺、NFT詐欺などの懸念もある。
そこでJSSEC技術部会では昨年、メタバースセキュリティWGを設立し、メタバースを安心安全に使える研究を進めている。スマートフォンでも利用されることを前提に、総務省の研究会に参加したり、勉強会やディスカッションなども開催したりしている。メタバース推進協議会のセキュリティ分科会ではガイドラインも策定中だ。
