KRACK(無線LANの乗っ取りをされるかもしれない攻撃)へのエンドユーザーでの対処

日本でも、10月16日くらいから騒がれはじめた、無線LANを乗っ取られるかもしれない問題。この問題へのユーザーの対処は以下のようにする。

  1. WPA2はそのまま使い続ける。
  2. OSなどのアップデートが数週間のうちに来るので、アップデートしておく。
  3. なるべく電波が外部に届きにくい5GHzの無線LANを使う。

基本的に、WPA2暗号化は、本日現在で一番強固なセキュリティであることに変わりはないので、まずそれを使うこと。WEPなどでは、やはり弱い。そして、メーカーなどが出すOSやハードウエアのセキュリティ・パッチを待つ。また5GHzの無線LANを使うことにより、電波が届きにくくなり、部屋の外などへの無線電波の漏洩を防ぐ、などは効果的だ。

 


IoT機器の乗っ取りを防ぐ

しかし、IoTのセキュリティってのがあちこちで言われている。あるレポートでは、大規模なIoT機器が乗っ取られ、DoS(Denial of Service – サービス不能化)攻撃に使われている、という。だから、IoT機器には、セキュリティが不可欠だ、というのである。ぼくらにしてみれば、IoT機器に限らず、インターネットに直接つながれるものは、すべて乗っ取りなどの事件が起きないように、セキュリティの設定を施しておくのは当たり前であって、やっていないほうがおかしい。しかもこの数年、インターネットに接続されるサーバーやIoT機器類の乗っ取りのための攻撃は非常に増えている。インターネットにつながれるすべてのコンピュータはセキュリティの設定をちゃんとする必要がどうしてもある。

と、脅しておいてなんだが、まともなエンジニアであれば、そんなことは当たり前だし、当たり前にやっていることでもある。セキュリティ専門のボタン一発のシステムやソフトウエアがありまっせ、いかがですか?と売りたい企業は山ほどあるが、実際のところは、きちんとした設定さえされていれば、まずハッキングの被害に会うことはない。高い買い物をしなくて済むのである。エンジニアの力量の問題なんだが、要するに当たり前のことを当たり前にする水準に、日本のエンジニアがなっていない、ということがとても大きいんじゃないだろうか?

ぼくはまだITという言葉がなかった時代どころか、インターネットもなかった時代からのこの業界の住人なので、IoT(Internet of Things)といまさら名前を付けて言われても、まぁ、それって当たり前に作ってたよなぁ、という思いがどうしてもある。要するにハードウエアもソフトウエアも中身を知り尽くしている、と言っていい立場になってしまう。私の時代以降は、アナログ回路を学ぶ人、デジタル回路を学ぶ人、ソフトウエアを学ぶ人、などなど、様々な分野に枝分かれした教育をしてきたから、自分のように「全部やったよ」って言う人は、今は少ないわけですね。ところが、今流行っているキーワードとしての「IoT」は、このすべての分野にまたがる知識が必要だから、いまさら、また総合的な知識のあるエンジニアを作れ、ってことにまたなってる。時代が一巡りしてきた感じがどうしてもある。

ということは、必要な知識を十分に持っていないエンジニアが今はあまりに多い、ってことですね。その人たちを助けるために、様々な「IoTセキュリティのシステム」が売り込まれている。マニュアルのクルマがオートマが当たり前の時代に変わり、気がつけばアクセルとブレーキを間違える不良老人ドライバーも増えてきた、という報道もある。だから、そういう間違いを起こさない(起こしても影響が無い)仕組みを作りましょうね、ということなんだな。セキュリティの教育はあっても、そのエンジニアはハードウエアもソフトウエアもアナログも知らないといけないし、この上セキュリティまでやってられるかよ、ってことですね。まぁ、そこにマッチポンプにも見える商売が成立するわけですが。人間が横着になった、というのは言い過ぎかも知れませんが。

セキュリティの基本の基本の話をすると、セキュリティの設定その他にも、またもしもアクシデントが起きたときにも、その対処には、「人件費」がかかる。つまり時間がかかる。その投資額が必要であると認められるものかどうかは、事業者が持っているお金の額による。大きなお金を扱っているところでは、セキュリティに大きなお金をかけざるを得ないし、ハッキングなどが小さな損失しか産まないものなのであれば、それなりの投資になる。セキュリティもまた現代という時代、日本という場所が資本主義社会の一部である以上、すべて「コスト」で考える必要がある、ということだね。だから、エンジニアでお金の話ができない人は、これからセキュリティに限らず、仕事をなくしていくわけだね。

ところで、このところいろいろなレポートで問題になっているIoT機器の乗っ取りのけっこうな部分が、ビデオレコーダーやテレビだというんだな(ぼくはメーカーも機種もわかっているけど、ここでは書かない)。そして、比較的早い時期にLinuxをOSとしてこれらの機器に組み込みで使っているから、まだLinuxのセキュリティがデフォルトでそんなに強固でなかった時期のものなんだな。だから、セキュリティ設定に人件費を割いていなかったんだね。その機器をいかに安く作るか、ってことばかりに注力してたんでしょうね。機器が量産品であって、それが大量にハッキングの対象になる、ってことは想定していなかったんですね。結果として、だけど、かけなければならなかったセキュリティの作業のコストをかけなかった、ということね。今となっては後の祭り。未来への想像力が働かなかったんだな。会社ごとね。そりゃおかしくなりますよ。そういう会社は。

結論を言えば「セキュリティ」とは「コスト」のことです。