2016/11/01

IoT メーカーがゲームコンソールから学ぶべき 7 つのセキュリティ戦略

2016 年 11 月 1 日 編集部記事

驚くべきことに、サイバー攻撃では、スマート冷蔵庫は Xbox One よりも簡単にハッキングされてしまうようです。実際に、家庭内で最も安全な接続デバイスはゲームのコンソールだろうと言われています。なぜでしょうか。初期のファミコンの時代からビデオゲームのコンソールがハッカーやサイバー犯罪の標的にされてきたため、ゲームメーカーは長年にわたってレイヤを次々と追加して、ハードウェアやソフトウェアのセキュリティを強化してきました。コンソールのメーカーは、設計段階から常に、ゲームコンソールのセキュリティに細心の注意を払っているのです。

一方、IT 業界では、セキュリティが一種の付加要素として扱われる傾向があるようです。数十億の IoT が利用されていることを考えれば、これは重大な問題です。ゲームコンソールの特権を取得する際にサイバー攻撃で利用される方法は接続デバイスの場合ととても良く似ているため、IoT メーカーは、ゲーム業界で採用されている設計方法から、セキュリティに関する多くの事を学べるはずです。ウォッチガードの CTO、Corey Nachreiner が先日、Dark Readking のコラムを執筆し、IoT 業界がビデオゲーム業界から学ぶ 7 つのセキュリティの教訓を解説しました。ここでは、4 つ目の教訓をご紹介します。

メモリとストレージの暗号化:過去の攻撃では、システムの機密情報をメモリから取得し、ビデオゲームコンソールで特権を昇格させるという方法が使われたことがあります。誤った方法で実装されたソフトウェアでは、機密情報(鍵など)がメモリに保存されることがあります。これらの情報が暗号化されていないと、攻撃者が RAM スクレイピングを使って情報を取得して、デバイスに対する高度なアクセスに悪用する可能性があります。この場合も、一意のセキュアなデジタル鍵が有効です。IoT デバイスは、秘密鍵を使ってメモリに保存したりストレージデバイスに書き込んだりするデータを暗号化できます。

これ以外の教訓については、Dark Readking の記事全文でご確認ください。