Langley のサイバーノーガード日記携帯電話、ゲーム機などのセキュリティ情報

　筆者はかねてから非PC系のセキュリティ情報をどこかでまとめて入手できないものかと考えていたのだが、なかなか出てきてくれない。

　昨今、PSPもNDSも電話になるし、Wiiも脆弱性があるし、ドコモはAndroidになるし、チェックしなけりゃならないことがいっぱいである。ついでに言えば、こういう色々な機能がついた小物は、放っておくと勝手に他の小物と通信したり、情報を読み取ったりしそうで恐ろしい。実際、NDSやPSPではゲームをプレイしていない移動中に、他の見知らぬ端末と勝手に通信することができる。「すれちがい通信」というヤツである。そのうち、すれ違いざまに、自分のNDSやPSPの内部データを勝手に読み取られるようになるだろう。

　携帯、ICカードやRFID、ゲーム機を相互通信可能な距離で持ち歩いている人は、沢山いるのではないかと思うので、ハンパでなく危険な気がする。しかもNDSにいたっては、「すれちがい通信中継所」まであるという。勝手に読み取ったデータを中継所経由で全国どこにでも送れるという素敵な機能だ。また携帯電話では、Androidはセキュリティ面では評判がよくないらしい。

OpenCORE insufficient boundary checking during MP3 decoding
http://www.ocert.org/advisories/ocert-2009-002.html
Multiple vulnerabilities in Google's Android SDK
http://www.coresecurity.com/content/advisory-google

　「家電　セキュリティ」あるいは「家電　サイバーセキュリティ」で検索しても、ろくな情報源が見つからない。筆者の求めるような情報を集積してくれているサービスは、やはりないようである。

　ちなみに、「家電　セキュリティ　ポータルサイト」で検索すると下記のサイトが一番上に表示される（By Google）。

ScanNetSecurity - スキャン・ネットセキュリティ [国内最大級の情報セキュリティ専門ポータルサイト]
https://www.netsecurity.ne.jp/

　いちおう、IPAでは調査研究をしているようだが、まだまだ非PCのセキュリティがまとまった形で整理、議論されるようになるまでには時間がかかりそうである。

自動車と情報家電の組込みシステムのセキュリティに関する調査報告書（IPA）
https://www.netsecurity.ne.jp/1_13050.html
家庭のセキュリティ？何故か議論されないホワイトリストとブラックリスト
https://www.netsecurity.ne.jp/3_13141.html

　しかし「すれちがい通信」でもわかるように、ゲーム機をはじめとする多くの非PC端末は、もはや既存のインターネットなしで勝手に独自のネットワークを構築できるほどの規模になっており、普及も進んでいる。あとはクリティカルなデータが入ってくるのを待つだけなのである。すでに携帯電話には決済機能が搭載され、クリティカルなデータが入っている。こんなものが、勝手に流れ出したら、えらいことである。

　筆者の考えでは、一般に普及する家電などのセキュリティにおいては、ホワイトリスト方式がもっとも有効だと思っているのだが、不思議と誰もあまり取り上げない。なぜだろうか…

【執筆：Prisoner Langley】

【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw