梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

宇宙からの「Bluetooth」接続

 便利な通信手段である「Bluetooth」は、ごく近距離で使うものだと思い込んでいた。私自身は、スマホで音楽をかける時、よりよい音で聞きたいと音楽プレーヤーにつなぐくらいにしか使っていない。イヤホンは使っていないので、自宅の外では通常OFFにしている。あとはデスクトップPCのマウスがその接続だが、これは持ち出すわけではない。持ち歩く「Surface」もマウス利用はしないので、この通信手段はOFFのままだ。

 

 というのも、スマホやPCに思わぬ通信手段から不正アクセスがあるかもしれないと、いつも思っているから。しかし、この記事を見て自宅にいるときも気を付けないといけないと思い始めた。

 

世界初、宇宙空間からのブルートゥース直接接続 | Forbes JAPAN 公式サイト(フォーブス ジャパン)

 

        

 

 衛星経由で、600km離れた接続に成功したという記事。世界に50億個以上あるというIoTデバイスを、よりローコストで接続する画期的な(エコな)技術である。しかし裏返せば、不正な接続もできてしまう可能性を拓いたとも言えよう。改めて「Bluetooth」のセキュリティ機能を調べてみたら、

 

1)ペアリング:1つ以上の共有秘密鍵を作成するプロセス

2)ボンディング:信頼できるデバイスペアを構築するために、ペアリング時に作成された鍵を後続の接続用に保存すること

3)認証: 2台のデバイスが同じ鍵を持っていることの確認

4)暗号化: メッセージの機密保持

5)メッセージの整合性:メッセージの偽造からの保護

6)セキュアシンプルペアリング:受動的盗聴からの保護と中間者攻撃からの保護

 

 とする資料(*1)を見つけた。一通りの機能はあるようだが、それらが適切に設定してあるかは、私自身も自信がない。このほか、必要がないときは機能をOFFにする、デバイスに利用者を想起させるような名前をつけないなどの注意は要るようだ。

 

 テクノロジーの発展はいいことだけれど、悪用されることも考える必要がある。機能拡張に当たっても「Security by Design」の姿勢で臨むことをお願いしたい。

 

*1:Bluetoothのセキュリティ - Apple サポート (日本)

SNS規制相次ぐ、ではどうやるの?

 すっかり情報インフラとして定着してしまったSNSだが、その影響力の大きさから規制の動きも活発になっている。その理由は大きく3つある。各々の代表的な例を含めて紹介すると、

 

1)政治的な影響力を危惧して、過激なもしくは嘘の情報をバラまかせたくない

 ⇒ 昨年一時的に<X>を止めたブラジル

2)オンライン詐欺やギャンブル、違法取引等犯罪の温床であるので禁じたい

 ⇒ 8つのSNSにライセンス制を導入しようとするマレーシア

3)青少年の健全な成長に悪影響があるので、年齢制限を加えたい

 ⇒ 16歳以下のSNSを禁じたオーストラリア

 

 のような状況である。アルバニアは<TikTok>だけを禁止しようとしているのは、全部がまじりあっている(*1)ように思う。同SNS上のトラブルで14歳の生徒が死んだり、中国のスパイツールとの説があったり、ルーマニアの大統領選挙に影響を与えたとの疑惑も考慮した措置のようだ。

 

        

 

 禁止を含む規制はいいのだが、具体的にどうやるのかを調べてみた。上記ブラジルの例(*2)では、裁判所が禁止命令を出し、サービスの完全かつ即時の停止を命じている。これに<X>側が従って、ブラジル国内でのサービス(サイトへのアクセス、情報の受発信)を停止したわけだ。サイバー空間には国境がないが、プロバイダはIPアドレスの位置情報でブラジル国内か否かは判別できる。

 

 さらに「Apple」と「Google」に対し、アプリストアから<X>を削除し<iOS>と<Android>での利用をブロックするよう求めたという。なるほどOSレベルで止めれば、利用制限はできそうだ。ただこれにも抜け穴はあって、VPNを使えばプロバイダやOSサービサーの網を潜り抜けることはできるらしい。

 

 今後各国政府がSNS規制をするのだが「上に政策あれば、下に対策あり」のようにならないか、サイバー空間の国境問題として注目しておこうと思う。

 

*1:アルバニアでTikTok禁止 若者への影響で物議:時事ドットコム

*2:ブラジル最高裁、Xのサービス停止を命令 偽情報対策めぐり - BBCニュース

企業でのインテリジェンス活用

 昨年末「民間発でもインテリジェンスはある。衛星画像などの公開情報に、専門家が分析を加えたもの。1週間後に起きることをそれなりの精度で予測できる」と紹介(*1)した。するとサイバーセキュリティの実務に携わっている人たちから、

 

・脅威インテリジェンスは、さるところから買っているが活用が難しい

・これについては、今後政府が機密保護付きで出してくれても同様ではないか?

・例えば「ソルト・タイフーン(*2)が来る」と言われても、どうすればいいのか?

 

 との声が聴かれた。また企業経営者のスタッフからは「仮に38度線で紛争が起きると告げられても、何をすればいいのか分からない」とも言われた。知るのは(知らないより)いいはずだが、それでどうすれば・・・ということ。

 

「酒飲んで寝ていよ」となるかも

 極東で紛争が起きるなら、個人や一企業では如何ともしがたいので、

 

・家族とどこかに逃げる

・株の空売りでもしようか

・運を天に任せて酒でも飲むか

 

 となってしまいかねない。そんなネガティブな議論があった後、あるサイバーセキュリティの専門家が、いい意見を言ってくれた。

 

・高度なサイバー攻撃者として「APT××*3」が伝えられたのは、18年前のこと

・国家レベルの攻撃力があって、容易に対処できないが存在は見えてきた

・その後長い期間の研究で、いくつかの傾向がわかり対処法も編み出されている

・相手も進化するのでイタチごっこだが、進化についてのインテリジェンスも貴重

 

 確かにインテリジェンスが完全無欠だったことは、おそらく歴史上ない。いわゆる「戦場の霧」の中にあって、指揮官は手持ちのインテリジェンスを基に決断をしてきている(*4)。普通の企業経営にも、この考え方や戦史は役に立つし、以前にもまして重要になってきたと思われる。

 

*1:予兆を知る民間インテリジェンス - 梶浦敏範【公式】ブログ

*2:中国系のハッカー集団、複数のISPに侵入して大規模に盗聴していたとされる

*3:APT攻撃 - Wikipedia

*4:実戦教本パズルブック(後編) - 新城彰の本棚

「うっかり」を含め従業員を護る

 この日は、ある重要インフラ事業者のCISOさんの話を聞く機会があった。インフラ事業は基本的にBtoC、普通の企業とはケタ違いの量の個人情報も持っている。また研究開発もしているから、機密情報も少なくない。

 

 だからインフラを止めない事業継続と同様、情報漏えいには十二分に留意している。まだサイバーセキュリティという言葉がポピュラーでなかった2000年代初め、この企業では数百万件の個人情報が漏えいしたという。それ以降対策の本腰を入れるのだが、脅威の多くは内部のものだと分かった。ほぼ9割以上のインシデントが外部からの攻撃ではなく、

 

・従業員の「うっかり」による漏えい

・従業員の意図的な情報持ち出し

 

 だった。

 

    

 

 最もインパクトがあったのが、外国のエージェントに接待を受けた従業員が社内の機密情報を持ち出した件。数年後に警察から教えられて、事態を知り懲戒解雇とした。その道のプロにかかれば素朴な技術者などイチコロである。そこで10分ほどの再現ビデオを作り、全従業員(含む幹部)に視聴を義務付けた。

 

 そのようなものはまれだが、退職間際の人が情報を持ち出すケースが目立ち、統計を取ると一般社員の数倍にあたることが分かった。そこで退職申請をした段階で、テレワークや新規データへのアクセスを禁じるなど、厳しい措置を採ることにした。

 

 そうなると管理・監視ばかりしているセキュリティ部門だとの反発は当然あるので、「実はうっかりのミスが多いのだ。セキュリティ部門はうっかりミスも検知してワーニングを流し、全従業員を護っている」と説明している。

 

 「護られている」と理解してもらえば、種々の措置が採りやすくなる。添付Fileやメールの文面、アクセス履歴などをAI処理してリスクのありそうなものを自動抽出する。その大部分は無害なものだし、問題があるとしても悪意ではないもの。それを数次のスクリーニングにかけて、どうしても問題だと考えた件については強制的な措置もやむを得ない。

 

 そのような考え方で、もちろん経営層の理解も得て、何万人もいる従業員のワークを見守っているという話だった。大規模漏えいや外国エージェントの誘いというインシデントがあったからこその取り組みだが、CISOさんは「内部脅威」と説明し決して「内部犯行」とは言わなかった。そこに大きな違いがあると感じた次第である。

 

サイバー分野の「Return to Technology」

 ここ10余年、サイバーセキュリティ政策研究に関わってきている私だが、セキュリティ技術者ではない。専攻はコンピュータサイエンスだったが、私が研究&技術者だったのはインターネットの黎明期まで。もっぱら、デジタル技術を活かして、社会をどう変えるか(今でいうDX)を仕事としてきた。

 

 一方セキュリティ専門家には、ゲーム感覚で「凄いこと」をしたくて、そのためにデジタル技術基礎から学んだ人も少なくない。自ら手を動かすのが基本なので、いくら本を読んでも、実践で鍛えられた人間でないと役に立たないと思っている。

 

 そんな実践派のサイバーセキュリティ有識者と、2年ぶりに意見交換した。学生時代からゲームにのめり込んだという人で、20余年のサイバーセキュリティ実績がある。彼によると、

 

    

 

・この2年、インシデント報道増加もあって、管理部門・経営者の意識は高まった

・しかし現場の技術者の育成は、自然発生的なものの域を脱していない

 

 のだそうだ。私たちは、まずは経営者の意識改革とサイバーセキュリティ重点施策を掲げてきたので1点目は納得だが、2点目には驚かされた。各企業は社内教育も充実させているし、外部には政府施策も含めて教育メニューがいっぱいある。受講者も増えているのだが・・・。

 

 彼は、メニューがあってもやる気のない受講者では意味がないし、上記のように「畳の上の水練」では頭でっかちが増えるだけだと思っている。サイバーセキュリティの深耕は「Return to Technology」だとして、

 

・サイバーセキュリティに関心を持ち、やる気がある人間を発掘する

・彼/彼女らに、自由な環境、欲しがる環境(*1)を与えること

・一方、チーム編成や社外交流(*2)などを工夫し孤立させないこと

 

 が重要だという。教育したら辞めて転職してしまうのではないかと危惧するのは、愚の骨頂というわけ。確かに士官将官を鍛えたところで、兵卒がいなければ戦争はできない。原点に戻してくれた、嬉しい意見交換だった。

 

*1:最新の設備を揃えてあげると、新しいおもちゃを貰ったように喜ぶ

*2:例えば、年に一度の海外カンファレンス出張費用も惜しまずに

車に耳あり、もちろん眼もあり

 自家用車を持っていないせいで、私は自家用車のサイバーリスクについて勘違いをしていたかもしれない。Connected Carになると、外部から乗っ取られて暴走したり、リチウム電池が制御不能になった爆発したりするリスクのことを心配していた。2027年製車種から、中国製部品を排除する米国の規制案(*1)にはさもありなんと思っていたのだが、リスクはもっと身近なところにもあった。

 

フォードがドライバーの会話を聞いて広告を配信する技術の特許を申請中 - GIGAZINE

 

 きっかけはこの記事。製造業がビッグテック並みに広告ビジネスにも進出・・・程度なら可愛いのだが、移動履歴などだけでなく車内の会話を聞いてAIが判断するというのは、ちょっと恐ろしい。

 

    

 

 会話を聞くというのは、自家用車内にはマイクがあるということ。特許案の説明では「特にハードウェアの追加は不要」なので、すでにマイクはあるのだ。例えばこんなもの。

 

パイオニアのAI搭載車載器「NP1」がさらに進化 音声操作で車内も撮影OK! ドライブの思い出を鮮やかに | くるまのニュース

 

 「壁に耳あり障子に目あり」ではないが、すでに自家用車は両方持っていて、私たちを監視・盗聴できる仕組みは整っているのだ。リモコンボタンではなく、音声操作ができる家電は便利である。自家用車も家電感覚になり、特にハンドルに両手をとられているドライバーにとって音声操作は有用だ。

 

 便利の裏側には、悪用の懸念がある。VIPが乗る自動車や、企業で特別に契約したタクシーだって、搭乗者の顔や服装、所作は丸見え、会話は筒抜けということになる。こうなると、おちおち車にも乗れない。家に籠っているしかないのだろうか?自宅の中でも、インターネット(IoT)家電は一杯ある。もしインターホンに盗聴マルウェアが仕込まれていたら・・・。私も、インターネットを遮断した空間に棲みたいという人も気持ちが、多少は理解できてきた。

 

*1:米国のConnected Car規制案 - 梶浦敏範【公式】ブログ

AIのリスク、3つのパターン

 サイバーセキュリティの先端研究をしている人と、意見交換する機会があった。先日のGoogle社の専門家は、主として技術的な側面の「AIリスク論」だったが、こちらは安全保障寄りの話。国際関係の緊張もあって、サイバー空間は事実上の戦争状態だと彼は言う。ウクライナや中東の話はできないとして、夏のパリ五輪でのサイバー防衛のことを紹介してくれた。

 

 フランス政府は五輪に国威をかけていて、戦時体制で防衛にあたった。ほぼ想定された方面(*1)から様々な妨害工作があったが、表面だった被害はなかった。事なきを得たのは、妨害手法を十分に学習したAIによるサポートだったという。

 

 他の国でも、サイバー演習にAIを活用して成果を上げた例がいくつもある。詳しいことは教えてくれなかったが、攻撃側も防御側もAIに代行させることで、非常に効率化したという。また、

 

・偽情報を検知するAI

・ゼロディ脆弱性を検出するAI

 

 も実用化され、サイバーセキュリティにAIは寄与しているという。

 

 

    

 

 一方AIの、もしくはAIによる新しいサイバーリスクも顕在化してきた。以前この人は、問いかけ方(プロンプト)によって禁じられている高度なマルウェア生成が可能なことを実践してくれた(*2)が、今回もっと進んだリスクを挙げてくれた。

 

1)ジェイル・ブレイク

 マルウェア作成など、AIサービスをする側は多くの制約を設けて悪用を防いでいるが、それを破る技術もまた進化していて非常に危険なものが容易に手に入るようになった。

 

2)システム・プロンプト・リーク

 AIには個々に性格付けがなされている。これは秘匿されていて、一般ユーザはその性格を悪用するのは難しい。しかし内部情報がリーク等で手に入れば、システム側が想定していない攻撃を喰らう。

 

3)プロンプト・インジェクション

 やはり問いかけ方などにより、ユーザが自分の都合のいいようにAIを歪め、意のままに操る手法。

 

 AIが単なるシステムではなく、言語を操ることができる故、言語で操られる脆弱性が出てしまったわけだ。論理学的にシステムと統御できても、心理学的な抜け穴があると言ってもいいだろう。

 

*1:国として五輪に参加できなかった、サイバー大

*2:情報工学と文学 - 梶浦敏範【公式】ブログ