セキュリティライブラリーwolfSSLが耐量子計算機暗号(PQC)に対応、組み込み機器で通信が可能に

セキュリティライブラリーwolfSSLが耐量子計算機暗号(PQC)に対応、組み込み機器で耐量子計算機暗号による通信が可能に

米国ワシントン州を拠点に組み込みシステム向けに軽量なセキュリティライブラリーを提供するwolfSSLは3月16日、主力製品の組み込みシステム向けセキュリティライブラリー「wolfSSL」が耐量子計算機暗号(PQC。耐量子暗号、ポスト量子暗号とも。Post-quantum cryptography)に対応したことを発表した。これにより、wolfSSLライブラリーを組み込んだ製品は、インターネットセキュリティーの標準プロトコル「TLS」上で、アプリケーションに変更を加えることなく、ポスト量子暗号による通信が可能になる。

現在、米国標準技術局(NIST)では、本格的な量子コンピューターの時代を見据えた耐量子計算機暗号の国際標準化を進めている。その候補として最終的に絞り込まれた技術のアルゴリズムを、オープンソースソフトウェア(OSS)プロジェクト「Open Quantum Safe」(OQS)が「liboqs」ライブラリーとして提供しており、wolfSSLはこれを実装し、組み込みシステムで利用できるようにしたということだ。

すでに、現在提供されている最新バージョン「wolfSSL 5.2.0」で耐量子計算機暗号に対応している。TLSで試すサンプルプログラムとその使用法の説明は、「wolfSSLのポスト量子暗号対応」で公開している。

タンポポの種のように風に乗せてばら撒ける超軽量センサーをワシントン大学の研究者が開発

100平方マイル(約259平方キロメートル)の森林で温度、湿度、日射量をモニターしようとしたら、さまざまな機器を結びつけてシステムの森を構築するのに長い時間がかかる。しかし、タンポポやニレの種を撒くように、センサーをばら撒くことができたらどうだろう?ワシントン大学の研究者は、必要な機器を風で運べるほど軽いデバイスにまとめあげた

このプロジェクトは、小規模で特定の目的に特化したコンピューティングの境界を押し広げるものだ。まだごく初期の試作品に過ぎないが、組込み電子機器が進むべき興味深い方向性を示している。

「私たちの試作品は、ドローンを使ってこれらの数千個のデバイスを、一度に投下できる可能性を示唆しています。これらのデバイスは、すべて少しずつ異なる方へ風で運ばれていき、基本的にはこの1回の投下で、1000個のデバイスネットワークを構築することができます」と、ワシントン大学の教授であり、多くのデバイスを製作しているShyam Gollakota(シャム・ゴラコタ)氏は語る。

この電子機器はバッテリーを一切使用しないため、全体の質量を大幅に削減することができる。数個の小さなセンサーと無線トランシーバー、そして数個の小さな太陽電池を搭載したこのデバイス自体の重さは、30ミリグラムにも満たない。

風を受ける部分の構造は何十回も試行錯誤を繰り返し、最終的にこの自転車の車輪の形に辿り着いた。これによってデバイスは、出発地点から遠くまで移動できるだけでなく、95%の確率でソーラーパネルを上向きにして着地できるという。ドローンでばら撒く場合は、100メートルほど移動して着地する。

一度着地すれば、明るいうちは常に動作し、後方散乱高周波信号を利用して周囲や互いに信号を跳ね返し、制御装置で収集することができるアドホックネットワークを構成する。

重さ1ミリグラムの驚異的に軽いタンポポの種が何キロメートルも移動できるのに比べれば、今はまだそれほどの機動力はない。しかし、自然界ではその設計を完成させるのに測り知れないほど長い年月がかかったが、ワシントン大学のチームは最近始めたばかりだ。もう1つの課題は、もちろん、本物の種はやがてタンポポになるか、朽ちて無に帰すという事実である。これに対し、1000個のセンサーは、拾われるか粉々に砕かれるまで残るだろう。生分解性エレクトロニクスの分野はまだ新しいが、研究チームはこの点に取り組んでいるという。

もし、電子機器廃棄物という観点(そして、おそらくそれを食べる動物という観点)を解決できれば、絶滅の危機に瀕した生態系を監視しようとする人々にとって、非常に有益なものになるはずだ。

「これは最初の一歩であり、だからこそ、とてもエキサイティングなのです。ここから私たちが進むことのできる道はたくさんあります」と、筆頭研究者のVikram Iyer(ヴィクラム・アイヤー)氏は語っている。この研究成果を記した論文は、米国時間3月16日発行の「Nature(ネイチャー)」誌に掲載された。

画像クレジット:Mark Stone/University of Washington

原文へ

(文:Devin Coldewey、翻訳:Hirokazu Kusakabe)

次のランサムウェアのターゲットは組み込み機器か?

2021年は、ランサムウェアギャングが重要インフラに目を向け、製造業、エネルギー流通、食品生産を中心とした企業をターゲットにした年として記憶されるだろう。

Colonial Pipeline(コロニアル・パイプライン)のランサムウェア攻撃は、ITネットワークへのランサムウェア攻撃が燃料を分配するパイプラインを制御する運用ネットワークへ広がる懸念から、結果として5500マイル(約8850km)のパイプラインを停止させる事態となった。

運用・制御技術(OT)ネットワークは、生産ライン、発電所、エネルギー供給を継続的に行うために重要な機器を制御するもので、重要なハードウェアをサイバー攻撃からより適切に隔離することができるよう、通常、企業のインターネット向けITネットワークからセグメント化されている。OTネットワークに対する攻撃が成功することはだが、Colonialへのランサムウェア攻撃をきっかけに、CISA(米国土安全保障省サイバーセキュリティー・インフラセキュリティー庁)は重要インフラ所有者にとって脅威が増大していると警告している。

セキュリティ研究者は現在、これらのOTネットワーク上にある組み込み機器がもたらすリスクについて警鐘を鳴らしている。組み込み機器向けのセキュリティプロバイダーRed Balloon Security(レッドバルーンセキュリティ)は、実際のネットワークで使用されている組み込みシステムでランサムウェアを展開することが可能であることを、新たな調査で明らかにした。

同社によると、Schneider Electric(シュナイダーエレクトリック)のEasergy P5保護リレーに脆弱性が発見された。この装置は、障害が発見されるとサーキットブレーカーを作動させ、現代の電力網の運用と安定性に重要な役割を果たすものだ。

この脆弱性を悪用してランサムウェアのペイロードを展開することが可能で、Red Balloonはこのプロセスを「高度だが再現可能」だと述べている。Schneider Electricの広報担当者はTechCrunchに対し「サイバー脅威には非常に警戒している」とし「Schneider ElectricのEasergy P5保護リレーの脆弱性を知り、直ちにその解決に取り組みました」と述べた。

Red Balloonの創業者で共同CEOのAng Cui(アング・ツイ)氏は、ランサムウェア攻撃は重要インフラプロバイダーのITネットワークを攻撃しているが、OT組み込み機器の攻撃に成功した場合は「はるかに大きな損害」になるとTechCrunchに語った。

「企業は、組み込み機器そのものへの攻撃から回復することに慣れていませんし、経験もありません」とツイ氏は話す。「デバイスが破壊されたり、回復不可能になった場合、代替デバイスを調達する必要がありますが、供給量に限りがあるため、数週間かかることもあります」。

2021年にIoTメーカーがソフトウェアアップデートを確実かつ安全にデバイスに配信できるようサポートするスタートアップを立ち上げたセキュリティのベテランであるWindow Snyder(ウィンドウ・スナイダー)氏は、特に他の侵入ポイントがより回復力を持つようになると、組み込み機器は簡単にターゲットになる可能性があると話す。

組込み機器に関して、スナイダー氏はTechCrunchに対し「その多くは特権分離がなされておらず、コードとデータの分離もなされておらず、多くはエアギャップ・ネットワーク上に置かれることを想定して開発されたもので、それでは不十分です」と述べた。

Red Balloonの調査によれば、数十年前に製造されたものが多いこれらの機器に組み込まれているセキュリティは改善される必要があり、政府や商業部門のエンドユーザーに対して、これらの機器を製造しているベンダーに対してより高い基準を求めるよう呼びかけている。

「ファームウェアの修正版を発行することは、最もミッションクリティカルな産業やサービスにおける全体的なセキュリティの低さに対処できない、消極的で非効率的なアプローチです」とツイ氏は指摘する。「ベンダーは、組み込み機器のレベルまでセキュリティを高める必要があります」。同氏はまた、米政府が規制レベルでより多くの取り組みを行う必要があり、現在、デバイスレベルでより多くのセキュリティを組み込むインセンティブがないデバイスメーカーに、さらなる圧力をかける必要があると考えている。

しかし、スナイダー氏は、規制主導のアプローチは役に立たないと考えている。「最も有効なのは、攻撃対象領域を減らし、区画化を進めることだと思います。より安全なデバイスを作るために規制をかけることはできないでしょう。誰かが、デバイスに回復力を持たせなければならないのです」と述べた。

画像クレジット:Sean Gallup / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi