海外における個人情報流出事件とその対応 第170回 ますます増える、海外生産で重視されるソフトのセキュリティ (2)ハードウェアの安全性を確保する
●面倒なハード上の脅威
国際
海外情報
脆弱性が見つかるなど、ソフトウェアに問題があった場合は、パッチを発表することで、その問題の解決は数時間でできる。これらのパッチを適用せず、脆弱なままの状態でコンピュータを使用しているユーザが多いとしても、理論上では解決は簡単なはずだ。しかし、ハードウェアにマルウェアが確認された場合は、そのハードウェアを回収する必要がある。その上で、個々のマシンを正常な状態にする必要があるなど、問題解決は容易ではなく、時間と労力のかかる作業となる。
また、マルウェアが仕掛けられる可能性があるのは、工場での製造過程だけとは限らない。修理を行うサービスセンターなども危険だ。ハードウェアにマルウェアが仕掛けられるリスクに詳しい、セキュリティ専門家は、「優秀な技師ならサーキットボードのチップを、ほんの数分で取り替えることができる」という。このチップにマルウェアがプログラミングされていると、ファイアーウォールをはじめ、どんなセキュリティ対策がそのPCに行われていても、効果はない。
ただし、このようなセキュリティ上のリスクについては、重視しているセキュリティ専門家は多くはない。ハードウェアにマルウェアが仕掛けられていたというケースが報告されることはまれだし、被害件数も少ない。対して、最近、重大視されているウェブサイトにマルウェアが仕掛けられている場合は、短時間に大量感染が確認されることで、大きな注目を集めている。まずは猛威をふるっている脅威への対策が集中的に行われるのも当然だ。
一方、このような新たな脅威については、国土安全保障省のマイケル・チャートフ長官も、そのリスクを認めていると『Popular Mechanics』が報告している。同誌の編集者が出席したブリーフィングで、「世界中からの部品を用いたコンピュータを購入することが増えるにつれ、小さい部品にリモートから実行できるようなマルウェアを埋め込まれていないか、どうやって保証することができるか、見ていく必要がある」と話していたというものだ。
国土安全保障省設立法にブッシュ大統領が署名したことで、正式な省となったのが、2002年。すなわち国土安全保障省が発足してから5年余りが経過した。時間が経つにしたがい、脅威も微妙に変化しているが、このブリーフィングは、現在、同省がどのようなサイバー上および物理的なセキュリティについて焦点を置いているのかの質問に答えるため、昨年12月に行われた。
その中で、チャートフ長官は、「注意されることは少ないものの、同様に重大な脅威はサプライチェーンに存在する」とした上で、「ハードに仕掛けられたマルウェアにより、コンピュータがボット化することもあり得る」と語っている。米政府でも脅威の存在を認識しているということだ。
●少しずつ進む対策
これらを背景に国家安全保障局(National Security Agency:NSA)では"Trusted Foundry Access"というプログラムで…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
