日本のPOS端末が狙われる、組み込みシステムのセキュリティ対策：セキュリティ強化塾（3/6 ページ）

「データは暗号化して取り扱うから安全」という誤解

　米国のPOSシステムからの情報漏えい事件では、カードの磁気ストライプ上の情報をリーダーで読み取った際に、端末のメモリにほんのわずかな時間だけ展開される平文の情報（カード番号、氏名、有効期限など）をウイルスがダンプし、その情報を外部に送信する仕組みがとられた。暗号化技術のすき間を突いた攻撃手口（RAMスクレイパー）である。端末に情報が保存されないシステムでも安心はできない。

　また暗号化されたデータだからといって、攻撃者の手に渡っても構わないとは、今では必ずしも言えなくなってきてもいる。暗号化や復号を行うデバイスに対して外部から、暗号化や復号の際の処理時間や消費電力の推移、外部に放出する電磁波、熱、音の変動などの処理の特徴を継続的に測定し、入力値との相関から機密情報を割り出せることが分かっている（サイドチャネル攻撃）。

　暗号機能付きのICカードからの機密情報窃取、暗号化モジュールからの秘密鍵の割り出しなどが行われる可能性がある。暗号化されたデータとともに暗号モジュールが入手されると、機密情報が解読されてしまう可能性が指摘されている。

「組み込みシステムはPCとは違うから攻撃が効かない」という誤解

　組み込みシステムは専用のソフトを使っているから、PCとは違ってウイルス感染しないと思われている場合もある。これは、一部の独自OSを利用する組み込み機器については正しいが、多くの組み込み機器が利用しているOSは、実はWindowsやLinuxなどの汎用的なOSなので間違いだ。

　特にWindowsを利用している場合では、ウイルスの数が多く、脆弱性も過去から現在まで多く公表されているため、セキュリティ上のリスクは大きい。にもかかわらず、オフィスPCのようにアンチウイルスやパーソナルファイアウォールが導入されていないことがしばしばだ。

　そもそも、いつも使っている機器がWindowsマシンであることを認識してもいないケースが多々あると想像できる。これではOSの脆弱性の発見にともなって提供されるセキュリティパッチの適用は見込めない。

　またLinuxの場合は頻繁にバージョンアップされるが、ずっと古いバージョンのまま放置され、脆弱性の修正ができていないケースがあるようだ。組み込みシステムによっては10年以上も使い続けられるものもあり、その間一度もOSのバージョンアップをしていないこともあり得る。気付いてみるとそのOSバージョンのサポートがとうの昔になくなっていて、バージョンアップが困難になってしまうこともあるだろう。