「ハッカーに報奨金」拡大 システム欠陥発見へ GM・ペイパル・ユナイテッド航空…

Logo.jpg
「敵」の知恵で安全確保   日本経済新聞 2016/03/29(火)

 米国の自動車メーカーや航空会社などで自社システムの防衛策の一環でハッカーを活用する動きが増えている。指定したシステムへの侵入を広く呼びかけ、セキュリティーホール(安全上の欠陥)を探したハッカーに報奨金を支給する。IT(情報技術)業界では一般的な手法が他業界にも広がっている。システムが高度・複雑化しサイバー犯罪も巧妙となっていることが背景にある。

hakkarkyouryoku.jpg 米国防総省が今月2日に発表したプロジェクトはサイバーセキュリティー業界に驚きを持って受け止められた。同省の通称を取ったプロジェクト名は「ペンタゴンをハッキングせよ」。機密度の高いものは含まない非基幹システムを対象に、不具合やセキュリティーの脆弱性を見つけたハッカーに報奨金を出す仕組みを4月から試験導入するという内容だ。


上限1万ドルを支給

 システムに無断侵入する犯罪者とみなしてきたハッカーに対し、米政府が報奨金を出すのは初めて。応募者の身元確認は徹底するなど慎重に取り組みを進めているが、ITへの理解が深いオバマ政権ならではの試みといえる。


 セキュリティー対策でのハッカー起用は自動車業界を筆頭に製造業で急速に進んでいる。米電気自動車(EV)メーカー、テスラ・モーターズは1万ドル(約113万円)を上限に報奨金を支給する。2015年に開始し、既に100件以上に支給した。「個人情報は流出させない」「サービスやデータの管理に支障をきたさない」「公表前に十分な改善時間を与える」など制限を設けつつ、対価を払ってハッカーの力を取り込んでいる。


 昨夏、ハッカーが集う米ラスベガスのイベントに登場したテスラのジェービー・ストローベルCTO(最高技術責任者)は「ハッカーの共同体と協力的にやっていく。それなしに安全性の確保は不可能だ」と語った。


 米自動車大手ゼネラル・モーターズ(GM)も今年からテスラに類似の報奨金制度を導入した。北朝鮮やシリアなど特定の国からの参加は禁じるなど参加者選びは慎重に行っている。


 航空業界でも昨年、米ユナイテッド航空が同業界で初めて報奨金ならぬ「報奨マイル」制度を始めた。遠隔操作の可能性など重要な欠陥を見つけた場合、最大100万マイルを付与する。


開発体制の一部に

 金融業界では米決済大手ペイパルも導入している。同社のジョン・ラン上級ディレクターは「外部のハッカーは既に開発体制の一部」と語る。国防総省までハッカー起用に乗り出したことは、セキュリティー問題がそれだけ深刻化していることの表れでもある。

 米連邦捜査局(FBI)と米運輸省高速道路交通安全局(NHTSA)は17日、通信機能がついた自動車にセキュリティーの脆弱性があると警告を発した。規制当局も「セキュリティー品質」に注意を向け始めている。


 すべてのモノがインターネットにつながる「IoT」に自動車業界が対応する中で、リスクに直面した格好だ。大手各社はこれまで、通信機能が付いた娯楽向けの情報システムと駆動システムは切り離されており、ハッキングによる車の遠隔操作は事実上不可能と主張してきた。


 だが米FCAUS(旧クライスラー)は昨年、著名ハッカー、クリス・バラセック氏らに遠隔操作が可能と指摘され、140万台のリコールを余儀なくされた。同氏は「どの会社も外部から遠隔攻撃されないと信じるべきではない」と警鐘を鳴らす。


 セキュリティーが強固な企業に対しては、セキュリティーが脆弱な取引先企業を経由して侵入するサイバー攻撃が増えている。脆弱性を探すためホワイト(善玉)ハッカーを雇おうとしても人数に限りがあり、想定外の弱点が残る恐れもある。不特定多数のハッカーを使う方が効率的な面もあり、報奨金制度はさらに広まりそうだ。


 シリコンバレー=兼松雄一郎


敵対から協力へ 著作権侵害で追及→ルール守れば訴えず


 外部からシステムにハッキングして弱点を公表する行為は大手企業から著作権侵害などで訴えられることも多かった。弱点に関連する知的財産の一部を公開する結果を伴う場合が多いためだ。訴訟を恐れ、発見した欠陥を公表しないハッカーも少なくなかった。


 自動車や航空大手など人命が関わる企業は、安全性が売りで、ブランド維持の面からもソフトの欠陥情報を自ら公表・共有するのには消極的だった。それだけに業界大手が「一定のルールを守ればハッカーを訴えない」と明示したのはセキュリティー対策の歴史の中でも画期的な出来事といえる。


 著作権問題に詳しい米国のコリーン・マクシェリー弁護士は「メーカーがハッカーの法的責任を追及することに力を入れても、実際に存在するシステムの脆弱性の問題を先送りするだけだ。協力以外に道はない」と指摘する。


 セキュリティー対策でのハッカー起用はIT(情報技術)企業が先行して導入した。IT業界ではソフトウエアの発売後に製品を改善し続ける文化があり、欠陥(バグ)を修正するためにハッカーを活用することにも抵抗感がない。ソフトは基本的にどこかにバグがあり、それ自体で法的責任を問われないことも背景にある。ハッカーに報奨金を支払う制度を導入する会社は1995年のネットスケープ以来、マイクロソフトやグーグルなど増え続けてきた。


bardgif.gif||

アクセスの多かった記事(昨日)