デジサート・ジャパンは2019年10月28日、都内で説明会を開き、IoTデバイスを安全に使うための商材として、IoTデバイス向け電子証明書をアピールした。IoTデバイスが抱えるセキュリティ上の課題を説明し、IoTデバイスを対象としたサイバー攻撃の事例を紹介した。
米DigiCertでIoTセキュリティ担当副社長を務めるMike Nelson(マイク・ネルソン)氏拡大画像表示
IoTデバイスが抱えるセキュリティ上の課題として、デバイス認証、データ暗号化、データの完全性の3つを挙げるのは、米DigiCertでIoTセキュリティ担当副社長を務めるMike Nelson(マイク・ネルソン)氏(写真1)である。
「正しいIoTデバイスを接続するためには認証が必要。IoTデバイスが収集して送信する機密データを保護するためには転送データの暗号化が必要。プログラムの署名を検証してマルウェア感染などを防ぎ、IoTデバイスから完全なデータが得られることも重要だ」(Mike氏)と説明する。
デバイス認証、データ暗号化、データの完全性の3つを実現する手段として同社は、PKI(公開鍵暗号基盤)の電子証明書(デジタル証明書)が適するとアピールする。IoTデバイスに電子証明書を埋め込んでおくことによって、これらの機能を実現できるからである。同社では、IoTデバイスの製造時に電子証明書を組み込む活動に力を入れている。
Mike氏は、サイバー攻撃によってIoTデバイスが脅かされる例をいくつか紹介した。1つは、ジープチョロキーハックと呼ばれる脆弱性の例である。ジープのチェロキーという自動車に電波を介してリモートアクセスし、自動車を制御した事例である。ワイパー操作やドアのロック解除、ステアリング操作、車両の加速、エンジンの停止などがリモートで操作できた。これにより、150万台がリコールとなった。
もう1つは、Medtronicペースメーカーハックと呼ばれる脆弱性の例である。心臓ペースメーカーに接続するモニターデバイスにマルウェアが感染することで、患者に電気ショックを与えたり、デバイスを無効にしたりできるようになる。もう1つの事例として、WannaCryによるランサムウェア攻撃も紹介した。
なお、デジサート・ジャパンは、米DigiCertによる米SymantecのPKI事業の買収にともない、社名をシマンテック・ウェブサイトセキュリティ(旧称は日本ベリサイン)から2017年11月にデジサート・ジャパンに変更している。
