日経新聞 2015年10月15日(木) P.14 企業面
特集連載『変わるサイバー攻撃 (下)』
『揺らぐ製造業』=完成品、求められる「対策」=
「上司がこの情報を知ったら、責任が問われる。 ここだけの話にとどめてほしい」。
国内電機大手のシステム担当者は涙目で懇願した。
今春、外資系セキュリティー大手の営業担当者が最新のウイルス検知装置を売り込みに行ったときのことだ。
『ジープ遠隔操作』
社内システムで装置を動かすと複数のウイルスが外部サーバーと活発に通信する様子が映し出された。
同じ設計図を使ったとしか思えない薄型テレビが中国メーカーから売り出された理由は、情報流出だったかもしれない。
システム担当者はこの装置を買わず、ウイルスは放置されたままだ。
ウイルス攻撃は、かって個人情報の抜き取りが主な目的だった。
闇サイトを通じ、メールアカウントやクレジットカード情報をやりとりすれば相応の利益が得られた。
上乗せする形で増えているのが製造物を狙う攻撃。
設計図や特許情報は売っても使っても巨利をもたらす。
「国ぐるみ」の攻撃者は安全保障にかかわるような産業機密に目を向け、製造物を通じたテロの可能性も高まる。
「米FCAUS(旧クライスラー)は知らずに部品を買っただけだが、それでは済まない」。
8月上旬、米ラスベガスでのイベントで著名ハッカー、クリス・バラセック氏は「ジープ」を乗っ取る方法を公開した。
基板に組み込んだソフトの脆弱性を利用してハンドルやブレーキを遠隔操作できることを示した。
FCAUSは欠陥を認め「リコール(回収・無償修理)」として処理した。
完成品メーカーは部品を品質とコストだけでなく、セキュリティーの観点からも再評価する必要に迫られる。
世界の製造業はセキュリティー対策を軽視する傾向が強かった。
サイバー攻撃の性質上、完全な防御は難しいことが対策をおろそかにする矛盾を促した。
標準的な対策を怠らなければ「欠陥」として製造物責任が問われにくかった。
『IoTで懸念』
セキュリティー研究者のスコット・アーベン氏は医療機器に着目する。
「大半はサイバー攻撃対策が全くない」。
医療機器は販売に厚生当局の認可が必要。
まじめにソフトを更新すれば、再認可を求められて販売できないリスクになる。
心臓に不安を抱えるディック・チェイニー元米副大統領は体に埋め込んだ除細動器の無線機能を任期中、使えないよう設定していた。
サイバー攻撃で命を狙われる恐れがあると判断したからだ。
モノのインターネット化(IoT)が進むとサイバー攻撃の懸念は一気に高まる。
セキュリティーを巡る訴訟が頻発する時代は近い。
「製品が満たすべきセキュリティー基準を示し指針もできてくる」(米スタンフォード大ディレクターのジョニファー・グラニック氏)とも言われている。
メーカーはソフト部門に十分な人員を確保し、技術的な備えを進める努力が欠かせなくなる。
・・・・・・・・・・・・・・・・・・・
浅山亮記者、兼松雄一郎記者が担当しました。
▲製造物がサイバー攻撃の標的になり始めた
【自動車】
無線LAN経由で改造ソフトを送り、運転乗っ取り
【工場設備】
ウイルス感染で蒸気圧の計測器を誤作動、爆発させる
【人工衛星】
地上との通信を混乱させ、運行支配
【航空機】
客席からウイルスを送り込み、ハイジャック
【医療機器】
無線通信でペースメーカーの動作停止
【テレビ・プリンター・ゲーム機】
ウイルス感染で、企業のウェブサイト攻撃の「踏み台」に悪用
●関連日経記事:2015年10月15日グー・ブログ「息子たちに読んで欲しい日経記事」投稿記事参照
『日経新聞 インターネット「日本を狙うサイバー攻撃が急増」=変わるサイバー攻撃 (上)=』(10月14日付)
●関連日経記事:2015年9月17日グー・ブログ「息子たちに読んで欲しい日経記事」投稿記事参照
『日経新聞 インターネット「ネット接続 もろ刃の剣」=IoT機器に「乗っ取り」リスク=』(8月21日付)
特集連載『変わるサイバー攻撃 (下)』
『揺らぐ製造業』=完成品、求められる「対策」=
「上司がこの情報を知ったら、責任が問われる。 ここだけの話にとどめてほしい」。
国内電機大手のシステム担当者は涙目で懇願した。
今春、外資系セキュリティー大手の営業担当者が最新のウイルス検知装置を売り込みに行ったときのことだ。
『ジープ遠隔操作』
社内システムで装置を動かすと複数のウイルスが外部サーバーと活発に通信する様子が映し出された。
同じ設計図を使ったとしか思えない薄型テレビが中国メーカーから売り出された理由は、情報流出だったかもしれない。
システム担当者はこの装置を買わず、ウイルスは放置されたままだ。
ウイルス攻撃は、かって個人情報の抜き取りが主な目的だった。
闇サイトを通じ、メールアカウントやクレジットカード情報をやりとりすれば相応の利益が得られた。
上乗せする形で増えているのが製造物を狙う攻撃。
設計図や特許情報は売っても使っても巨利をもたらす。
「国ぐるみ」の攻撃者は安全保障にかかわるような産業機密に目を向け、製造物を通じたテロの可能性も高まる。
「米FCAUS(旧クライスラー)は知らずに部品を買っただけだが、それでは済まない」。
8月上旬、米ラスベガスでのイベントで著名ハッカー、クリス・バラセック氏は「ジープ」を乗っ取る方法を公開した。
基板に組み込んだソフトの脆弱性を利用してハンドルやブレーキを遠隔操作できることを示した。
FCAUSは欠陥を認め「リコール(回収・無償修理)」として処理した。
完成品メーカーは部品を品質とコストだけでなく、セキュリティーの観点からも再評価する必要に迫られる。
世界の製造業はセキュリティー対策を軽視する傾向が強かった。
サイバー攻撃の性質上、完全な防御は難しいことが対策をおろそかにする矛盾を促した。
標準的な対策を怠らなければ「欠陥」として製造物責任が問われにくかった。
『IoTで懸念』
セキュリティー研究者のスコット・アーベン氏は医療機器に着目する。
「大半はサイバー攻撃対策が全くない」。
医療機器は販売に厚生当局の認可が必要。
まじめにソフトを更新すれば、再認可を求められて販売できないリスクになる。
心臓に不安を抱えるディック・チェイニー元米副大統領は体に埋め込んだ除細動器の無線機能を任期中、使えないよう設定していた。
サイバー攻撃で命を狙われる恐れがあると判断したからだ。
モノのインターネット化(IoT)が進むとサイバー攻撃の懸念は一気に高まる。
セキュリティーを巡る訴訟が頻発する時代は近い。
「製品が満たすべきセキュリティー基準を示し指針もできてくる」(米スタンフォード大ディレクターのジョニファー・グラニック氏)とも言われている。
メーカーはソフト部門に十分な人員を確保し、技術的な備えを進める努力が欠かせなくなる。
・・・・・・・・・・・・・・・・・・・
浅山亮記者、兼松雄一郎記者が担当しました。
▲製造物がサイバー攻撃の標的になり始めた
【自動車】
無線LAN経由で改造ソフトを送り、運転乗っ取り
【工場設備】
ウイルス感染で蒸気圧の計測器を誤作動、爆発させる
【人工衛星】
地上との通信を混乱させ、運行支配
【航空機】
客席からウイルスを送り込み、ハイジャック
【医療機器】
無線通信でペースメーカーの動作停止
【テレビ・プリンター・ゲーム機】
ウイルス感染で、企業のウェブサイト攻撃の「踏み台」に悪用
●関連日経記事:2015年10月15日グー・ブログ「息子たちに読んで欲しい日経記事」投稿記事参照
『日経新聞 インターネット「日本を狙うサイバー攻撃が急増」=変わるサイバー攻撃 (上)=』(10月14日付)
●関連日経記事:2015年9月17日グー・ブログ「息子たちに読んで欲しい日経記事」投稿記事参照
『日経新聞 インターネット「ネット接続 もろ刃の剣」=IoT機器に「乗っ取り」リスク=』(8月21日付)