TechCon Arm は、通信を暗号化し、無線によるセキュリティ修正をインストールすることで、IoT デバイスのセキュリティ保護に役立つオープンソース コードを来年初めにリリースしたいと考えています。
このファームウェアは、プロセッサ コアの設計者である Arm が「プラットフォーム セキュリティ アーキテクチャ」と呼ぶもののリファレンス実装となり、その詳細は本日公開されました。
このアーキテクチャは、基本的に、強力な暗号化に依存する以下の主要機能がデフォルトで有効になっている、家庭用セキュリティ カメラやスマート電力メーターなどのデバイスを作成するためのレシピを示しています。
- デバイスを識別し、認証し、証明書を使用して通信を暗号化する機能。これにより、ガジェットに接続するソフトウェアとユーザーは、正しいデバイスと通信していることを保証し、ハードコードされた推測可能なパスワードの使用を避け、暗号化によってガジェットとの間でやり取りされるデータを保護できます。
- 正規のソフトウェア アップデートを自動的にダウンロード、検証、インストールし、デバイスにセキュリティ ホールを自動的にパッチする機能。
- マシン上で実行されている OS がマルウェアやハッカーによって改ざんされないように、信頼できるブート シーケンスを提供します。
このレシピには、適切な暗号学的に安全な乱数生成器などのハードウェア要件のショッピングリストと、ソフトウェアが上記のセキュリティ機能にアクセスする方法を定義する仕様が含まれています。Arm設計のプロセッサを使用するIoT製品やその他のガジェットのメーカーは、将来の機器においてこのアーキテクチャに準拠することが強く推奨されます。
これらのブループリントは、Armのエンジニアが、昨年インターネット上で戦争を仕掛けるために使用されたMiraiボットネットに乗っ取られたウェブカメラやルーターなど、Armのプロセッサコアを搭載した様々な組み込みデバイスを調査し、脅威モデルを開発した後に設計されました。脅威モデルとは、インターネット接続デバイスを乗っ取る典型的な犯罪者と、そのために悪用される脆弱性を記述したものです。このモデルを念頭に置くことで、脆弱性に対処するためのブループリントを作成することができました。
今日の多くのIoTデバイスには、主に3つの問題があります。セキュリティホールを補うためのソフトウェアアップデートが容易に、あるいは稀にしか行われないため、ハッカーによる乗っ取りの危険にさらされています。ユーザー名とパスワードが「admin」など、認証情報がハードコードされているため、悪意のある人物やマルウェアがコントロールパネルにログインし、デバイスを乗っ取る可能性があります。また、個人情報が平文でウェブ上送信されるため、盗聴者が人々の日常生活を覗き見したり、転送中のデータを改ざんしたりすることが可能になります。
死神を恐れよ:ハッキングされた組織100万から回収された大量のウェブカメラ、ルーター
続きを読む
すべてのIoTデバイスがこれほどまでに危険なわけではありません。例えば、大手メーカーの最新のスマートホームキットは、上記の点をしっかりと考慮しています。しかし、ネットワーク接続されたウェブカメラ、収納ボックス、スマートメーターやテレビ、インフォテインメントシステム、ホームルーターなど、現場で機器の自動パッチ適用ができなかったり、分かりやすいパスワードがハードワイヤリングで入力されていたりするなど、何らかの形でセキュリティを落としてしまうガジェットは数多く存在します。
Arm は、上記に対するソリューションが断片化されるのを目にするのではなく、つまり基本的にメーカーがそれぞれこれらの問題を解決しようとして失敗の度合いがまちまちであるのを見るのではなく、セキュリティが必須である業界全体のアーキテクチャを開発し、Arm のテクノロジーに依存するハードウェア メーカーにそれを押し付けることを決定しました。
おそらく、それは、自らが意図せず生み出した怪物への責任感から生まれたものでもあるのだろう。Armの軽量ながらも高性能なプロセッサコアは、最先端のスマートフォンからボットネットに強制的に組み込まれるハッキングされた粗悪なウェブカメラまで、世界中の何十億ものインターネット接続デバイスを支えるシステムオンチップやマイクロコントローラーに使用されている。Armのコアで動作するひどいソフトウェアは、Armのせいではない。しかし、このチップ設計者は2035年までに1兆台のインターネット接続デバイスをオンラインにすることを熱望している。もしそれが実現するなら、誰かがそれを安全に守らなければならない。さもないと、インターネットに接続された冷蔵庫や冷凍庫がインターネットの悪魔によって私たちに襲いかかる、苛立たしく分裂した未来が待っているだろう。
そこでArmは、このプラットフォーム・セキュリティ・アーキテクチャを策定し、基本ルールを定めました。これにより、メーカー各社がセキュリティの脆弱なWi-Fi接続デバイスをユーザーに押し付けないよう、導いてくれることを期待しています。そして、この取り組みを加速させるため、Armは、TrustZoneをはじめとするセキュリティ機能を備えたARMv8-M 32ビットマイクロコントローラー向けに、このプラットフォーム・アーキテクチャを実装したオープンソースのファームウェアを開発・リリースする予定です。
Trusted Firmware-Mと呼ばれるこのリファレンスファームウェアは、いわばセキュアBIOSのようなものです。プロセッサ上で最初に実行される薄いコード層で、自動OTAアップデートやデバイスIDといったサービスを設定し、その後、お気に入りのリアルタイムOSやArm独自のmbed OSなど、検証済みで暗号署名されたオペレーティングシステムを起動します。Trusted Firmware-M上で実行されるソフトウェアは、基盤となるセキュリティサービスを使用することで、安全なOTAアップデートを取得・インストールできるようになると予想されており、脆弱なパスワードを使った認証は過去のものとなるでしょう。まあ、夢は叶うでしょう。
デジャヴ
もし見覚えがあるなら、その通りです。Armは2014年に、非常によく似た低レベル技術、前述のmbed OSを発表しました。これは、市場に出回っている多種多様なArm搭載システムオンチップ(SoC)間で一貫したソフトウェアインターフェースを提供し、信頼できるブートやTLS暗号化による安全な通信などを実現するはずでした。
ただし、mbed OSはARMv7-M以前のマイクロコントローラに重点を置いているのに対し、Trusted Firmware-MはARMv8-Mのみを対象としており、mbedチームは現在もすべてのCortex-Mコア向けのリファレンスプラットフォームセキュリティアーキテクチャファームウェアの開発に取り組んでいるとのことです。mbed OSをARMv7-MのTrusted Firmware上で動作させることが構想されています。
まとめると、製品にARMv8-Mコアを使用している場合は、Firmware-Mを使用できます。そうでない場合は、mbed OSチームがCortex-Mマイクロコントローラ用のリファレンスファームウェアの形でセキュリティアーキテクチャを実装するまで待つ必要があります。あるいは、仕様に従って独自のコードを作成することもできます。
この分割は少し残念ですが、mbed OS が主に ARMv7-M プロジェクトであり、サポートすべきチップファミリが相当数あること、そしてセキュリティアーキテクチャチームが Cortex-M シリーズの最新版である ARMv8-M をターゲットにしようとしたことが原因だと思われます。また、信頼できるファームウェアレイヤーを最初から提供することで、将来のシステムオンチップ設計者にとって ARMv8-M ライセンスの獲得を容易にする手段にもなります。
mbed OS と Firmware-M の 2 つの部分が、最終的には一貫したブランド名の下に統合されることを期待しています。
いずれにせよ、すべてがArm上で動作するわけではありません。信頼できるファームウェアが導入されていても、その上で動作するソフトウェアはArmのサービスを利用し、システムを攻撃にさらす一般的な落とし穴を回避する必要があります。つまり、ハードコードされたパスワード、悪用される可能性のあるバッファオーバーフロー、Webベースのコントロールパネルにおけるコマンドインジェクションのバグ、プレーンテキストのネットワーク接続、セキュアBIOSを無力化してしまうようなプログラミングミスはもう発生しないということです。
残念ながら、アプリケーションで単純なパスワード認証から証明書認証などに切り替えると開発コストが上昇し、利益率の極めて低い組み込みハードウェア市場のメーカーにとっては受け入れ難い状況です。どんなセキュアシステムでも、すべてのコンポーネントの強度は最弱のコンポーネントと同等です。そして、アプリレベルの悪質なバグが1つでもあれば、文字通り家が崩壊してしまう可能性があります。
下手なサードパーティプログラマーが脅威モデルに一度も登場しないのはおかしい。
ここで市場の力が作用し、セキュリティアーキテクチャに準拠していないメーカーが非難されるか排除され、消費者が繰り返しハッキングされるガジェットを避けるようになり、開発者がFirmware-Mのアップデートメカニズムを通じて定期的にバグ修正をリリースしてくれることを期待しています。繰り返しますが、夢は叶います。
リファレンスファームウェアは2018年第1四半期にリリースされる予定です。Armはまた、セキュリティアーキテクチャの開発中にIoTデバイスで実施したセキュリティ分析結果を公開すると発表しました。今週、ソフトバンク傘下の英国チップアーキテクチャーズは、シリコンバレーで年次技術カンファレンス「Arm TechCon」を開催します。®
