ファームウェアの脆弱性が急増中!

呉井嬢次(Johji Kurei) 2006-07-24 13:10:00

 ファームウエアの脆弱性に伴う修正プログラムの発表件数が急増している。6月だけで40件、7月20日の段階で既に60件のファームウエアがサポート専用サイトで公開されている。ファームウエアの脆弱性対応方法はこれから注目されるだろう。

 この中には、マイクロソフト製品に関する脆弱性件数は含まれていない。インターネットを利用していれば、ブロードバンドルータ、無線LANルータ、ネットワークカードを利用していると思う。また、ファームウエアとは、ネットワーク機器やパソコン自身のハードウエアが最初に動かすプログラムである(大雑把な説明)。パソコンならOSを起動する前に起動するBIOS(バイオス)という小さなプログラムがある。インターネット対応のハードディスクレコーダーにもファームウエアは存在する。このようなファームウエアに、次々とセキュリティ上の脆弱箇所が見つかっている。

ファームウエアをアップデートしないで生じるリスク

 ファームウエアをアップデートしないと、色々な問題が起きる。OSのセキュリティーホール(脆弱箇所)を放置したのと同じリスクがあると考えていい。

−ファームウエアの脆弱性をネットワーク経由で攻撃され、遅延もしくはダウンする
 無線LANルータなら、無線LAN接続ができなくなる。これはサービス拒否攻撃と呼ばれ、DoS攻撃と呼ばれる。

−ネットワーク経由で不正アクセスされて、他のマシンへの中継基地にされる
 ブロードバンドルータの場合、不正アクセスされる中継機として利用される。このような不正行為は、踏み台と呼ばれる。国境を越えて複数の踏み台を経由すれば、犯人を追求する者にとって、余分な時間を取られる。国同士の交流が少ない北の某国に踏み台があると、捜査が困難となる。

−ファームウエア上で稼動するコンテンツの著作権侵害
 ネット対応ゲーム機では、ゲームソフトを簡単に複製されて著作権を侵害する。コンテンツの著作権違反は、Winnyを代表されるP2Pソフトで流通している。残念ながら、現在のところWinnyは著作権違反幇助という解釈はされておらず、深刻な問題となっている。

−不正にアクセスされて、データを盗み出される
 ネットワーク上に流れるデータを盗み見られたり、ファームウエア上に格納されている設定情報が盗まれてしまう。これだけなら問題が無さそうに思われるが、マシンの台数、セキュリティ機器の位置情報がわかり、結果的にセキュリティを回避する経路設定に影響を及ぼす。

ファームウエアのバグ件数を調査した統計データが無い!

 最初に6月は40件、7月で60件のファームウエアの脆弱性が発見されたことを紹介したが、これは著者自身がセキュリティー調査の一環で調べた一部分に過ぎない。コンピューターウイルスと比べれば、ひと月あたりの件数は少ないように感じるだろう。ウイルスは既にワクチンベンダーがウイルス対策ソフトを使って一網打尽に退治できる。だが、ファームウエアを統合的にチェックするセキュリティアプリケーションは存在しない。シスコルータのファームウエアを調べることが可能なセキュリティ製品は存在するが、家庭向けのブロードバンドルータには対応していない。そんな現実がある。

 さらに困ったことに、国内の情報セキュリティ団体は、ファームウエアに対する脅威は認識しているが、統計的に調査を行って、継続的に発表されていない。

ファームウエアを修正しないことで生じる損失額は1億超

 ファームウエアを修正しなくても、利用者は限定された利用をしていれば気づかない。しかし、コンテンツの違法コピーによる著作権侵害による損失、良質なソフトウエア(この中にはゲームのコンテンツも含まれる)の創造機会の損失、不正アクセスによる情報漏えい、ネット機器サービスの不能に伴うサービス中断(保守コスト含む)を積み上げていくと、1億円を突破する。この金額については、異論、反論もあるだろう。信用できないなら、ファームウエア個別の脆弱性によるリスク分析を行い、想定する脅威、ネット上に流通する不正コンテンツ、対策コストを積み上げれば明らかになるはずだ。

ファームウエアの更新だけチェックするビジネスも登場する

 ファームウエアの脆弱性に伴って生じる損失が1億円と書いたのには、理由がある。これをマイナスと捕らえないことだ。1億円の市場が生まれつつあると考えるべきだろう。いまや上場企業となったコンピューターウィルス対策メーカーだって、最初は数百のウイルスを収集して、分析してパターンファイルを更新して増やしていった。ファームウエアによって起きている問題は、まさに、このような段階にある。パソコンだけを対象とせず、今後は、携帯電話、携帯型音楽再生機、IP電話などファームウエアの爆発が起きる。その時、自分が利用するネット機器(ネット家電)がメーカーのサポートに依存するだけで、自分(または企業)の生活を定常的に確保できる保証はない。
 ゆえに、自分の使用している機器のファームウエアを登録し、代行してくれるビジネスが登場するように予想する。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR