これでは国を守れない!? 日本の情報セキュリティが遅れているワケ

なぜ?世界でできているのに…
神永 正博 プロフィール

世界中が先取権を狙っている

2017年10月16日、Blackhat EUROPE2017というセキュリティ技術のカンファレンスで、マシー・ヴァンホフ氏が、Wi-Fi暗号化に使われているWPA2の脆弱性に関する発表を行った。

WPA2はWi-Fi暗号化に使われる標準的な暗号プロトコルであり、全世界の膨大な数の端末が危険に晒される。もちろんヴァンホフ氏は事前に各社に連絡を取っており、各社は大急ぎでパッチをあてている。

例えば、Windows 10は、10月10日のアップデートで対応済みである。このWPA2へのアタック手法はKRACKと呼ばれ、暗号化の鍵を横から勝手にインストールしてしまうものだ。暗号化のためのやりとりの隙をついたアタックである。

WPA2を破ったヴァンホフ氏は、ベルギーのルーヴェン・カトリック大学の博士研究員である。この大学はセキュリティに強く、ヨーロッパのセキュリティ研究の拠点となっている。伝統的な暗号理論からその実装、ソフトウェア・ハードウェアのセキュリティ技術開発、暗号プロトコルの解析、その他の周辺技術にいたるまでカバーしている。

2000年頃、私はルーヴェン・カトリック大学を訪ねたことがある。当時の暗号グループを率いていたジャン・ジャック・キスケータ教授に話を訊いた。

「セキュリティ研究について、ほとんどの領域を一つの大学で網羅しているのは素晴らしい。日本にはここまでの体制はないが、どうしてこんなことができるのですか」
と。

彼は答えた。

「ベルギーは小さな国だ。だから、一箇所にパワーを集中させないと、研究で勝つことはできない」

研究は一種の狩りである。世界中の暗号学者があらゆる暗号の解読に挑んでいる。新しい暗号方式が考案されれば腕利きの研究者たちが群がり、直ちに解読が試みられる。解読に成功すれば、解読者はすぐさま結果をプレプリント(学術雑誌に掲載される前の原稿段階の論文)として公開する。先取権争いに勝つためである。

ベルギーがうまくいったのも、情報セキュリティでリーダーシップを握るにはどうすればいいか、と戦略的に考え抜いた結果なのだ。AES(現在世界中で標準的に使われている暗号)の設計をしたホァン・ダーメン氏、フィンセント・ライメン氏もルーヴェン・カトリック大学の卒業生だ。現在この大学で教授を務めるザビエル・スタンダール氏は暗号理論、ハードウェアセキュリティの分野で世界的に有名な研究者である。

イギリスも然り。ケンブリッジ大学のロス・アンダーソン教授は、Serpent(AESの最終候補の一つ)というブロック暗号の設計者である。アンダーソンは暗号の設計のみならず、プリペイド電力カード、ペイTVへのアタック、電磁波セキュリティ、個人データベースの安全な管理方法から、セキュリティの経済学など、情報セキュリティのあらゆる領域をカバーしている超人である。彼も、コンピュータラボに情報セキュリティ研究の一大拠点を作っている。ドイツ、ロシアなど、世界中からハッカーをかき集めたのだ。

情報技術は巨大な生き物のようなもの

今後、爆発的に普及が予想されるIoT(Internet of Things)のセキュリティは巨大な問題になりうる。

2016年、イスラエルとカナダの研究者が、Philips Hueスマートランプ(IoTデバイスの一種)を例に、近接するIoTデバイスを伝わって感染を広げるワームを開発・検証したと報告した(IoT Goes Nuclear: Creating a ZigBee Chain Reaction, https://eprint.iacr.org/2016/1047.pdf)。IoTデバイスが増えると一種の連鎖反応が起き、大きな脅威になるというのだ。

情報技術とは、言ってみれば大脳の処理系をアルゴリズムの形で具現化したものであり、インターネットはその神経系である。神経系はIoT技術によってセンサーやモノと接続されつつある。センサーやモノと接続された神経系と処理系。それ自身が巨大な生き物なのだ。