組み込み機器のセキュリティとは｜実際の攻撃事例と対策方法を解説

組み込み機器（Embedded Systems）は、特定の機能を実行するために専用設計されたコンピュータシステムであり、私たちの生活に溶け込んでいる存在です。スマートフォン内部のチップ、自動車の制御ユニット、産業用ロボットのコントローラ、さらには病院で使われる医療機器まで、その活用範囲は非常に広大です。
IoTデバイスと重なる部分もありますが、より深くハードウェアに密着して動作するという性質から、開発段階から運用段階に至るまでのセキュリティ確保の難しさや、万一の障害が物理的・社会的に影響を及ぼすリスクといった固有の課題を抱えています。

組み込み機器における主要なセキュリティリスクと対策

物理的アクセスによる攻撃

多くの組み込み機器は、家庭や工場、公共インフラといった現場に設置され、ユーザーや第三者が直接触れられる位置に存在します。このため、攻撃者がデバイスを持ち去り、分解して内部にアクセスする可能性があります。特にUARTやJTAGといったデバッグポートは、セキュリティ設定が不十分な場合、ファームウェアや機密データの抽出に悪用される可能性があります。その解析結果をもとに、同型機器のファームウェアを改ざんしたり、マルウェアを挿入したりする攻撃へと発展する恐れがあります。

ファームウェアの脆弱性と更新体制の不備

組み込み機器のファームウェアは、バッファオーバーフローやコマンドインジェクションなど、古典的かつ広く知られた脆弱性を含むことがあります。一度脆弱性が発見されれば、世界中に展開している同一製品が一斉にリスクにさらされる可能性があります。しかし現実には、利用者自身が更新を行う仕組みのまま提供されるケースも多く、結果として脆弱性が修正されないまま長期間使われる「レガシーデバイス」が残存するリスクがあります。

ハードウェアへの不正書き込みと認証の欠如

組み込み機器は、基本的に電源投入後は同じ処理を繰り返す単機能的な性質を持ちます。この特性は安定性の源泉でもありますが、同時に攻撃者にとって標的となるリスクがあります。もし改ざん済みのファームウェアが不正に書き込まれれば、デバイスそのものが攻撃の踏み台や情報収集装置に変わってしまう可能性があります。さらに、サプライチェーンに悪意あるコンポーネントが混入すれば、製品出荷時点からバックドアが仕込まれているリスクも考えられます。

事例に学ぶ組み込み機器セキュリティの教訓

ここでは、過去から最近までに発生した組み込み機器の脆弱性や攻撃事例を通じて、学ぶべきセキュリティ上の教訓を整理します。

事例1：遠隔からの自動車制御（ジープ・チェロキー 2015年）

2015年、セキュリティ研究者のCharlie MillerとChris Valasekが、ジープ・チェロキーのインフォテインメントシステムを経由して、リモートでエンジン、ブレーキ、トランスミッションの制御まで可能であることを実証しました。この攻撃は、車載のUconnectインフォテインメントシステムが携帯電話ネットワーク（Sprint社の3G/4Gネットワーク）に直接接続されており、外部からアクセス可能な脆弱性が存在したことが原因でした。

攻撃の手順は以下の通りです。まず、研究者たちはインターネット経由でUconnectシステムにアクセスし、システム内部のLinuxベースのソフトウェアに侵入しました。そこから、車両のCAN（Controller Area Network）バスに接続し、エンジン制御ユニット、ブレーキシステム、ステアリング、エアコンなど、車両の重要な制御システムを操作することが可能であることを示しました。実証では、高速道路を走行中の車両を遠隔で停止させる様子が公開され、世界中に大きな衝撃を与えました。

この脆弱性が発覚した後、Chryslerは約140万台のリコールを発表し、USBメモリ経由でのソフトウェア更新を実施しました。さらに、Sprint社も該当車両へのインターネットアクセスを一時的に遮断する措置を取りました。この事例は、コネクテッドカーの普及に伴い、従来の機械的安全性だけでなく、サイバーセキュリティが自動車の安全性に直結する新たな課題であることを明確に示しました。

事例から学ぶ教訓

組み込み機器の脆弱性はサイバー空間の問題にとどまらず、物理的安全性に直結します。自動車では安全性（Safety）と防御性（Security）を統合設計する必要があります。また、リモートアクセス可能なシステムでは、ネットワーク分離や多層防御の重要性が浮き彫りになりました。

関連リンク : WIRED

事例2：医療機器のファームウェア改ざん（輸液ポンプ 2015年頃）

2015年前後、病院で使用されるIcuMed社製の輸液ポンプ（Plum A+シリーズ）において、複数の深刻なセキュリティ脆弱性が発見されました。これらの脆弱性により、攻撃者が病院のネットワークを介して遠隔で輸液ポンプにアクセスし、薬剤の投与量や投与速度を不正に操作することが可能であることが判明しました。

具体的な脆弱性としては、デフォルトの認証情報がハードコードされていたこと、暗号化されていない通信プロトコルが使用されていたこと、ファームウェアの更新機能に適切な認証機構が実装されていなかったことなどが挙げられます。これらの問題により、病院内のネットワークに侵入した攻撃者は、患者に致命的な薬剤過投与を引き起こしたり、逆に必要な薬剤の投与を停止させたりすることが技術的に可能でした。

この脆弱性の報告を受けて、FDA（米国食品医薬品局）は医療機関に対してセキュリティ勧告を発出し、メーカーはファームウェアのパッチを提供しました。しかし、医療機器特有の課題として、パッチの適用には医療機関での動作検証、FDA承認プロセス、臨床現場での運用停止などが必要となり、迅速な対応が困難でした。実際に、一部の医療機関では規制上の制約や運用上の理由からパッチ適用が大幅に遅れ、長期間にわたって脆弱な状態が継続しました。

また、この事例では医療機器のライフサイクル管理の複雑さも浮き彫りになりました。医療機器は10年以上の長期間使用されることが多く、その間にサイバーセキュリティの脅威環境は大きく変化するため、継続的なセキュリティ更新体制の構築が課題となっています。

事例から学ぶ教訓

医療機器は人命に直結するため脆弱性管理が非常に重要です。しかし、規制や運用の複雑さがパッチ適用の遅れを生み、セキュリティリスクにつながる可能性があります。医療機器では、設計段階からセキュリティを組み込むSecurity by Designの重要性と、長期的なセキュリティサポート体制の必要性が示されました。

関連リンク : AHA News / FDA - Infusion Pumps

事例3：産業用制御システムのマルウェア感染（ウクライナ電力網攻撃 2016年）

2016年12月、ウクライナの電力網を標的とした高度なサイバー攻撃が発生し、首都キエフの一部地域で電力供給が約1時間停止しました。この攻撃では「Industroyer」（別名CRASHOVERRIDE）と呼ばれる専用マルウェアが使用され、産業用制御システム（ICS/SCADA）を直接標的とした初めての大規模攻撃として注目されました。

攻撃の手法は極めて巧妙で、まず攻撃者は電力会社のIT系ネットワークにスピアフィッシングメール経由で侵入しました。その後、数ヶ月間にわたってネットワーク内を潜伏・偵察し、IT系からOT（運用技術）系ネットワークへの移動経路を特定しました。最終段階では、Industryoyerマルウェアが制御システムに展開され、電力系統の開閉装置を不正に操作して送電を停止させました。

特に注目すべきは、このマルウェアが複数の産業用通信プロトコル（IEC 61850、IEC 60870-5-101/104、DNP3など）に対応しており、異なるメーカーの制御機器を横断的に攻撃できるよう設計されていたことです。また、攻撃者は復旧を妨害するため、制御システムのファームウェアを破壊する追加のマルウェアも投入しました。

さらに、この攻撃では物理的侵入経路も悪用されました。攻撃者は保守作業員になりすまして変電所に侵入し、USBメモリを介してマルウェアを制御システムに直接投入する手法も併用していたことが後の調査で判明しました。これは、ネットワーク分離（エアギャップ）された制御システムであっても、物理的アクセスや保守端末経由で侵入される可能性があることを示しました。

この事例は、重要インフラを狙ったサイバー攻撃が現実の脅威であることを世界に知らしめ、各国の電力・水道・交通などの重要インフラ事業者におけるサイバーセキュリティ対策の強化を促すきっかけとなりました。

事例から学ぶ教訓

組み込み機器はネットワーク隔離だけでは安全ではなく、物理的経路によるマルウェア感染も防ぐ必要があります。また、産業用制御システムでは、IT系とOT系のネットワーク境界での厳格なアクセス制御、多要素認証の導入、異常検知システムの構築が重要であることが示されました。

関連リンク : Kaspersky / CISA

事例4：コネクテッドカーへのリモートハッキング（2024年）

2024年初頭、セキュリティ研究者のSam Curry氏らの研究チームが、複数の自動車メーカー（Kia、Honda、Infiniti、Nissan、Acura、Mercedes-Benz、Hyundai、Genesis、Bmw）のコネクテッドカーサービスに深刻な脆弱性を発見したことを公表しました。これらの脆弱性により、攻撃者は車両識別番号（VIN）のみを知るだけで、リモートから車両のドアロックの解除、エンジンの始動、車両位置の追跡、さらには車内カメラでの盗撮まで可能となる状況が確認されました。

具体的な攻撃手法として、研究者たちは各メーカーのモバイルアプリケーションやWeb APIの認証機構に存在する脆弱性を悪用しました。例えば、一部のシステムでは車両のVINナンバーを認証トークンとして使用しており、VINが分かれば正規のオーナーになりすまして車両制御が可能でした。また、別のケースでは、API呼び出しの際の権限チェックが不適切で、他のユーザーの車両情報にアクセスできる「不適切な直接オブジェクト参照（IDOR）」の脆弱性が存在していました。

さらに深刻だったのは、一部のメーカーでは過去の走行履歴、頻繁に訪れる場所、車内で撮影された写真なども取得可能だったことです。これは単なる車両盗難の問題を超えて、プライバシー侵害やストーカー行為に悪用される可能性を示しています。

この発見を受けて、影響を受けた各メーカーは迅速にAPIの修正を実施し、追加の認証メカニズムを導入しました。しかし、この事例は2015年のジープ・チェロキー事例から約9年が経過した後でも、自動車業界でのサイバーセキュリティ対策が十分でないことを浮き彫りにしました。特に、急速に発展するコネクテッドカー技術において、利便性を優先するあまりセキュリティが後回しになりがちな構造的問題が指摘されています。

事例から学ぶ教訓

サイバー攻撃が物理安全性に直結する自動車では、設計段階からセキュリティと安全性を一体化させる「Sec-DevOps」のアプローチが重要です。また、コネクテッドサービスでは適切な認証・認可機構の実装、API設計におけるセキュリティ考慮、継続的な脆弱性評価が必要であることが再確認されました。

関連リンク : Road & Track

事例5：サプライチェーンへのバックドア混入（2020年）

2020年12月に発覚したSolarWindsへのサイバー攻撃は、ソフトウェアサプライチェーンを悪用した史上最大規模の攻撃として、サイバーセキュリティ業界に大きな衝撃を与えました。この攻撃では、SolarWinds社のネットワーク監視ソフトウェア「Orion」のソフトウェア更新プロセスに攻撃者が侵入し、正規の製品アップデートに悪意のあるコード（SUNBURST/Solariumマルウェア）を混入させました。

攻撃の巧妙さは、その準備期間の長さと隠蔽技術にありました。攻撃者（ロシア政府関連とされるAPT29/Cozy Bear）は、2019年初頭からSolarWinds社の開発環境に潜入し、約18ヶ月間にわたって正規のソフトウェア開発プロセスを研究・監視していました。2020年3月から6月にかけて配布されたOrionソフトウェアの更新版には、バックドア機能を持つマルウェアが埋め込まれており、この間に約18,000の組織が感染したとされています。

埋め込まれたマルウェアは、感染から2週間程度は休眠状態を保ち、その後段階的に活動を開始する時限式の設計でした。また、マルウェアは正規のOrion機能を模倣するよう巧妙に偽装されており、通常のセキュリティ監視では検出が困難でした。さらに、攻撃者は全ての感染組織ではなく、米国政府機関や大手企業など高価値の標的のみを選別して、より高度な侵入活動を実行しました。

この攻撃により、米国財務省、商務省、国土安全保障省、国防総省、司法省などの政府機関をはじめ、Microsoft、Cisco、Intel、NVIDIA、VMwareなどの主要IT企業が侵入を受けました。被害範囲の全容把握には数ヶ月を要し、復旧作業は現在でも継続中です。

IoTデバイスへの示唆として、この事例は組み込みシステムのファームウェアやソフトウェアコンポーネントも同様のサプライチェーン攻撃のリスクにさらされていることを示しています。特に、IoTデバイスは多数の外部ライブラリやSDKを組み合わせて構築されることが多く、それぞれの供給元でのセキュリティ侵害が末端のデバイスまで波及する可能性があります。また、IoTデバイスの場合、一度市場に出荷された後の修正が困難であることから、サプライチェーン段階での汚染は長期間にわたって影響を与える可能性があります。

事例から学ぶ教訓

サプライチェーン全体に広がる脆弱性は、一つのベンダーの不備が、多数の企業やユーザーに連鎖的な被害をもたらすリスクがあります。この事例は、ソフトウェア開発環境の保護、コード署名の強化、サプライヤーのセキュリティ評価、ゼロトラストアーキテクチャの導入など、多層的なセキュリティ対策の重要性を示しました。また、IoTデバイスにおいても、使用するコンポーネントの出自確認、ビルド環境の保護、継続的な脅威監視が重要であることが再認識されました。

関連リンク : CISA

組み込み機器セキュリティのまとめ

組み込み機器は、自動車、医療機器、産業用制御システム、IoTデバイスなど、私たちの生活や産業のあらゆる場面に深く組み込まれています。これらのデバイスは、サイバー攻撃や物理的改ざんのリスクに常にさらされており、脆弱性は人命や社会インフラ、さらには国家安全保障にも影響を及ぼす可能性があります。

まずは無料相談から

組み込み機器の脆弱性は、単なる技術課題ではなく、社会全体や人命に関わる重要テーマです。過去の自動車、医療機器、産業用システム、IoTデバイスの事例を教訓に、安全で信頼性の高いデバイス設計・運用の努力が、今後ますます求められます。

サイバーディフェンス研究所では、IoT機器・組込み機器に特化した専門的なセキュリティ診断サービスを提供しています。お客様の製品特性や開発フェーズに応じた最適な診断プランをご提案いたしますのでお気軽にお問い合わせください。