【今のトピック】 みんなが分からなければならないセキュリティイシュー。

 

f:id:PentaSecurity:20170919181451p:plain

 

 

 

1.今も人と写真の違いが分からないサムスンスマホ

 

f:id:PentaSecurity:20170919181649p:plain


顔認識技術は、セキュリティ性が高いとは言い切れません。今回、発売されたサムスンの「ギャラクシーノート8(Galaxy Note 8)」は、人と写真の区別ができず、顔写真だけでロックが解除できます。この問題は、昨年の春に公開された「ギャラクシーS8」をローンチングする時にも熱い議論を巻き起こりました。

顔認識技術を、本格的にセキュリティシステムとして導入するには、以下のように二つの心配があります。
 

まず、一つ目は、顔認識技術自体が安全だと信じてしまうことです。一般的に安全だと思われる空港や出入国管理事務所などでもよく使われる技術であるため、こういう勘違いがあるのではないかと思います。しかし、そういう機関では、顔認識技術一つだけではなく、既存の認証方法と共に使っています 。しかし、ギャラクシーではこの顔認識システムをスマートフォンのロックを解除するための追加認証方法ではなく、唯一な認証方法として使っています。

顔認識技術は、指紋認識よりセキュリティ性が高くありません。顔認識は、パスワードを入力するより、早くロック解除ができるというのが唯一の長所です。これを見ると、おそらく顔認識は、セキュリティ性を高めるために開発された技術ではないようですね。
 

2つ目は 、サムスンは、顔認識技術のセキュリティ問題を認めていながらも、その技術に対した広報を積極的に行っています。問題がすでに発見されたにもかかわらず、「ギャラクシーノート8」をロンチングするまでに当該機能のセキュリティ性が高くなっていなかったのが問題です。セキュリティについて、真剣に考えていないような気がします。アップルのアイフォン8の顔認識技術のレベルは、どうでしょうかね。

サムスンのように顔写真でロック解除されず、高いセキュリティ性を認められることができれば、成功を収めることができるそうです。

 


2.イルカの音を聞き取れるAIセクレタリーたち

 

f:id:PentaSecurity:20170919182015p:plain

 

Alexa and Siri are vulnerable to silent、”nefarious commands”

 

アマゾンの「Alexa(アレクサ)」とアップルの「Siri(シリ)」など人工知能スマートセクレタリーの技術で発見されたセキュリティ問題についての研究結果が発表されました。中国浙江大学の研究者によると、ハッカーは超音波技術を利用して、スマートセクレタリーに人間が聞けない音声命令を下すことができるそうです。また、研究者はこの方法を使用すると、悪意ウェブサイトへのアクセス、他のIoT機器の悪用なども可能だと言及しました。

 

このようなハッキングの方法は、「ドルフィンアタック(DolphinAttack)」と呼ばれています。注目すべきところは、音声認識技術が含まれている多数のスマートセクレタリーが、「ドルフィンアタック(DolphinAttack)」の対象になれる可能性があるというところです。幸いなことに、この攻撃は近距離で、そしてスマートセクレタリーが作動中の時のみ可能だそうです。それに、 どういう命令をしているかは聞けなくても、その命令に応答するセクレタリーの音は聞こえるので気づくことはできます。

 

これは、スマートセクレタリーのメーカーと開発者共に気づかなかったり、無視していた脆弱性です。ですが、音声認識の範囲を超音波領域までに拡大すると、解決できる問題なので幸いです。

 

IoT時代には、ハッキングの可能性を、できる限り減らせなければなりません。そして、そうするためには、メーカーだけにIoT機器の開発を任せてはいけないことが、今回の研究で證明されました。


3.エネルギー分野を攻撃するハッカーグループ

 

f:id:PentaSecurity:20170919182117p:plain

 

 

Dragonfly:Western energy sector targeted by sophisticated attack group 

 

エネルギー分野の運営を害する危険性のあるハッキング行為が、米国と欧州地域で発見されたという注意報を、セキュリティ企業である「シマンテック」が発表しました。

 

「ドラゴンフライ」というハッキング組織は、判明した所によると、少なくとも2011年から活動してきたそうです。正体が露出された後はしばらく静かだったのですが、2015年末から活動を再開したそうです。

 

今度は、エネルギー施設を対象にしたハッキングツールと戦略を開発しているそうです。特に、オペレーティングシステムにアクセスできる能力を持つのを目指にしており、すでにある程度は達成したそうです。シマンテックの分析によると、「ドラゴンフライ」は、エネルギー施設の運営に害を与える能力を整えているそうです。

 

主な攻撃対象は、米国、スイス、トルコなどの国のエネルギー関連機関や施設です。攻撃方法は、フィッシングメールバックドアをインストールするトロイの木馬ソフトウェア、ウォータリングホール攻撃などです。ですが、実際のハッキング能力がどの程度かは、シマンテックも情報を持っていないそうです。

 

いずれにせよ、悪意のある攻撃を行い、またその攻撃が成功する可能性があるという事実、その自体が心配です。エネルギー分野に対したハッキングが開始された場合、その被害は決して少なくないでしょう。