クルマのハードウェアの脆弱性を評価、ハッカー目線で作った侵入テストツール：車載セキュリティ

ラピッドセブン・ジャパンの牛込秀樹氏

　ラピッドセブン・ジャパンは2017年5月16日、東京都内で会見を開き、直接ハードウェアに接続して脆弱性を評価する侵入テストツール「Metasploit Hardware Bridge」の概要を発表した。

　同ツールはオープンソースの攻撃フレームワークによるソフトウェア侵入テスト「Metasploit Framework」の機能の1つ。自動車向けにイーサネットやCANバス、RFトランシーバー、ZigBeeといった通信に対応している。自動車メーカーやティア1サプライヤーに向けて提案する。

　「日系企業は、欠点が露呈するという理由で侵入テストを敬遠する傾向があるが、今後のセキュリティは防御よりも、攻撃を迅速に検知して改善することが中心になる」（ラピッドセブン・ジャパン 社長の牛込秀樹氏）

ハードウェアの設計者はセキュリティ意識が低い

Rapid7のクレイグ・スミス氏

　米国本社のRapid7はリスクベースのセキュリティソリューションを提供している。リスクベースというのは、ファイアウォールやサンドボックスなどの従来の“防御”のセキュリティを否定するものではない。脆弱性の診断や脆弱性によって起こるリスクの管理、ユーザーの行動分析などを提供する。

　またRapid7では「Mirai」のような実在する悪意のあるボットネットや攻撃を追跡調査する研究拠点を持っており、攻撃者の動向や情報を反映させた脆弱性評価を提供する。

　ハードウェアの脆弱性評価について、Rapid7で運輸関連のセキュリティリサーチダイレクターを務めるクレイグ・スミス氏は「ハードウェアはソフトウェアよりも攻撃しにくいから安全性が高い、と考えるのは間違っている。チップにも脆弱性はあるし、攻撃者はハードウェアに潜んでいる。だからこそ、ハードウェアの脆弱性の評価が必要になる」と説明した。

　牛込氏も「ハードウェアの設計者はソフトウェア開発者よりもセキュリティ意識が低い。『この部品を使えば大丈夫』と見誤ってしまうこともある。ハードウェアは一度製品に搭載すると修正できず、ユーザーが変更することもできない。セキュアなチップを正しく組み込めれば堅牢性を担保できるが、本当に堅牢なのか検証する手段が必要だ」と強調する。牛込氏によれば、セキュリティに対する意識の乖離は、ソフトウェアとハードウェアの開発工程が分かれていることが大きく影響しているという。

　Metasploit Hardware Bridgeでのテストの対象はECUに限らず、例えば車載情報機器のシステムがインターネットに接続したのを想定した検証や攻撃テストも可能としている。

　調査会社ガートナーの予測では、2020年までに60％の企業の情報セキュリティ予算は、迅速な攻撃の検知とその対応のためのアプローチに割り当てられるという。2015年時点では、この目的に予算を割り当てる企業は20％以下にとどまる。