門林 雄基氏によるコラム【ハードウェアの脆弱性(2)】を公開

第12回：ハードウェアの脆弱性(2)

「スマホやパソコンを題材に、ハードウェアの脆弱性の性質を紹介します」
　前回 (リンク ») はクラウドを例として、ハードウェア脆弱性の性質について紹介しました。幸い我が社はクラウドを使っていないから大丈夫、という様子見一辺倒のレガシーユーザもいらっしゃるかもしれません。しかしさすがに、スマートフォンも使っていない、パソコンも使っていないという現場はさすがに少ないでしょう。

　今回はスマホやパソコンを題材に、セキュリティ専門家でなくても知っておきたいハードウェアの脆弱性の性質について思いつくままに紹介したいと思います。


「USB充電で脆弱」
　ハードウェア脆弱性の筆頭は、じつは皆さんの従業員が使っているスマートフォンかもしれません。前回、「同じハードウェアを共用する場合にリスクがある」という話をしました。
　さて、皆さんのところの従業員が何の気なしに使っているUSB充電器、本当に安全でしょうか。最近、中国製のスマートフォンがどうの、と騒がしいですが、皆さんの隣の机にあるUSB充電器が日本製かどうか、即答できる人は少ないのではないでしょうか。

　さて、USB充電器がなぜハードウェア脆弱性とつながるのか、という話をしましょう。じつは市販のアンドロイド搭載スマホのうち数機種では、USBポートからファームウェアをいじったり、電話をかけたりSMSを送ったり、APN設定を変えたりできます。パソコンにスマホを接続すると、スマホがモデムとして見えるのですが、今時そんなことを意識する人は稀でしょう。若い人たちは、テザリングなら分かるけどモデムって何？と言うかもしれません。
　昨年夏、ある有名な国際会議で、このモデムの機能の一部（いわば隠し機能）としてファームウェアの更新やAPN設定の変更、画面のアンロックなどが出来てしまうことが指摘され、問題となりました。もちろんこういった隠し機能は機種依存のものも多く、全てのメーカーのスマートフォンの画面を自在にアンロックできるわけではないですが、いずれにせよUSBに繋いだだけでスマートフォンをアンロックされて、妙なアプリをインストールされる可能性が指摘されたこと自体、リスク情報として知っておいて損はないと思います。
　とはいえ、「いやいや、俺は見ず知らずの人のパソコンにつないで充電なんてしないから大丈夫だよ」と多くの人は言うでしょう。
　さらに問題を難しくしているのは、パソコン相当の機能をもつIoT機器がUSB充電器なみに小さく、3,000円以下で手に入ることです。

　さて、あなたのUSB充電器の中身は大丈夫でしょうか。

　「そういえばこれ、オークションで妙に安かったんだよね。。。」

　ここから先のホラーストーリーはご想像にお任せしましょう。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
(リンク »)


【門林 雄基氏のコラム】
・第1回：サイバーセキュリティに求められるバランス感覚 (リンク »)
・第2回：サイバーセキュリティが損なわれる原因を理解する(1) (リンク »)
・第3回：サイバーセキュリティが損なわれる原因を理解する(2) (リンク »)
・第4回：サイバーセキュリティが損なわれる原因を理解する(3) (リンク »)
・第5回：サイバーセキュリティが損なわれる原因を理解する(4) (リンク »)
・第6回：サイバーセキュリティが損なわれる原因を理解する(5) (リンク »)
・第7回：サイバーセキュリティが損なわれる原因を理解する(6) (リンク »)
・第8回：通信プロトコルの脆弱性(1) (リンク »)
・第9回：通信プロトコルの脆弱性(2) (リンク »)
・第10回：通信プロトコルの脆弱性(3) (リンク »)
・第11回：ハードウェアの脆弱性(1) (リンク »)