ICHIRO BLOG引っ越しました

「IoT」というバズワードを御輿にして産業界が活気づくのは決して悪いことではありません。しかし、ネットにつながるということはそれだけ悪意のある攻撃に晒される可能性も高くなるということでありまして、IoT導入の機会が増えれば増えるほど、普段の生活においてサイバー攻撃を受けるリスクは大きくなってしまう現実は覚悟しなければならなくなりました。そして、そのリスクはどんどん大きくなっていきます。

こんにち、社会の中で普及している機器やシステムの中には、悪意のあるサイバー攻撃というものが世の中には存在しない前提で設計されたものも少なくないでしょう。それは仕方ないことなのかもしれませんが、すでに致命的なセキュリティ脆弱性が発覚しているにもかかわらず、そうしたリスクのある状態のままで放置されてしまっているケースがしばしば見受けられるようになってきました。

各社の心臓ペースメーカーから計8000もの脆弱性、米セキュリティ企業が発見。現場の甘い認識も指摘（Engadget日本版 17/5/30）

多くのセキュリティ研究者が心臓ペースメーカー製造企業に対して警告しているにも関わらず、現場の反応はまだあまり見えてきていません。セキュリティ企業のPonemon Instituteは、製造企業の17%しかまだ製品のセキュリティ対策を講じていないとう調査結果を発表しています。Engadget日本版

もちろん、”ただちに”すべてのペースメーカーが乗っ取られるとか、異常を引き起こすという話ではありません。

記事によれば、多くのペースメーカーで採用されいてるプログラムのソースコード自体がいずれもお互いに類似しているという指摘があり、レガシーな資産でもはや簡単には手のつけようがない状況であることも想像されますが、だからといって外部からハッキングされるおそれがあるのであれば、そのまま放置しておくのはまずいのではないでしょうか。この記事のソースは特定セキュリティメーカー1社の報告だけに拠っているようなので、できれば他の検証なども知りたいところです。

そもそも「心臓ペースメーカーをネットに繋ぐなんてあり得るのか」という件も含めて目下論争になっているようですが、近い将来、稼働データを確保する目的で当然に起こり得ると主張する技術者や医療関係者が多いことにも驚きます。もちろん、先端技術がもたらすリスクに比較的寛容なアメリカというお国柄によるところもあるのですが。

概ねIoT機器というものは、メーカーが提供するセキュリティ施策を全面的に信用して利用するしかないわけですが、メーカー側がどこまで責任をもってくれるのかといえば、残念ながら最終的にはそうした機器を選んで使うユーザーの自己責任という形に帰結しそうな不安があります。

今回のペースメーカーのようにユーザーの生命に直接影響が出るような製品では、すでに米国内で行政が警告を出していたそうですが、そうした指導があってもメーカー側はあまり具体的な対応を進めていないようでして、これは事故が起きないと何も改まらないということなんでしょうか。ちょっと嫌な感じですが、ペースメーカーでさえもそういう状況ですから他のものについては推して知るべしということなのかもしれません。たとえば、単純なネット接続機能を備えただけのお手軽なスマートテレビであれば、仮にセキュリティ的にいくばくかの問題が発生したとしても、それでユーザーの生命が直接脅かされるわけではありませんから、メーカー側としてもそれほど重大な問題ではないとして放置する可能性は十分ありそうです。

で、ちょっとそういう事例の一つになりそうな気になる話がブログ記事になっていました。

パナソニック、プラズマテレビの技術を活かした4K有機ELテレビを国内発売。ただしFirefox OS（すまほん!! 17/5/31）

OSには引き続きFirefox OSを採用。各種VODサービスに対応します。

Firefox OSは2016年、バージョン2.6をもってスマートフォン向けのサポートを終了。Mozilla自身も商用デバイスの開発から身を引いています。Firefox OSはIoT向けにのみ継続されていましたが、MozillaはFirefox OS関連部署の従業員を解雇しており、VIERAのFirefox OSがどこまでサポートされるのか、先行きが不透明な部分があるのも事実。すまほん!!

これは…パナソニックがこれから主力製品の一つとして売りだそうというスマートテレビのOSにFirefox OSを採用するというのは本当なのでしょうか？

先日はTizenが生き延びて4.0に進化している事実を知り驚いたばかりですが（IoTな時代に向けて密かに成長を続ける謎のOS開発メーカー）、もし本当にFirefox OSまでが今も現役というのであれば相当に驚愕の事態です。

TizenはSamsung社内に開発チームがありますから、もしセキュリティ的な問題が発生しても直ぐに対応できるであろうとは推測できますが、パナソニック社内にもFirefox OSについてそうした問題発生時に対応できるだけのリソースがあるのかは大いに気になるところです。同社がFirefox OSをテレビに採用決定した当時のインタビュー記事を読む限りは、そうしたリソースが社内にあるのかどうかはよく分かりません。

なぜテレビにFirefox OS? をパナソニックに聞く（AV Watch 15/6/26）

しかし、テレビ用OSを自社だけでメンテナンスするのが厳しいからこそオープンソースのFirefox OSを選んだという趣旨に読める説明があることから想像すると、セキュリティ問題発生時にパナソニックだけで即座の対応をとるのはちょっと大変そうかなと思えてしまいます。もちろん、今のパナソニック社内にはしっかりしたFirefox OS専門チームがあり、問題が発生すればいつでも即座に対応していますということであれば、これは単なる私の誤認による杞憂であり無用な詮索をしてどうもすいませんとあやまるしかないのですが。

いずれにしても、開発が公式に終わってしまった旧式なOSをネットに常時接続させる機器に採用し続ける企業姿勢というのは、セキュリティを気にするユーザーの目からすればどうしてもネガティブなものとして映ってしまうのは否めません。まあ、そういう口うるさいギークなユーザーは最初からお客として相手にしていない、あえて枯れたテクノロジーを使うことでトラブルを回避しているのだと強弁されるのであれば、それはそれでありなのかもしれませんが、ちょっと気になる話だなと感じた次第です。

まあ、みんなでTizenを使えばきっといろんな問題が明るく解決できるようになるかもしれませんけど。