オフィスの電話回線のご相談はお気軽にお問い合わせください。
防犯カメラ導入のご相談はお気軽にお問い合わせください。
テレワーク導入のご相談はお気軽にお問い合わせください
ホームページ制作のご相談はお気軽にお問い合わせください。
企業向けパソコン導入のご相談はお気軽にお問い合わせください。
ウォーターサーバー導入のご相談はお気軽にお問い合わせください。
全メーカー対応!新品・中古ビジネスフォンを激安で販売
新品・中古複合機が業界最安値!リースや保守も安心価格
社用携帯の新規契約・乗り換え・機種変更が圧倒的な安さ
もうビジネスフォン不要!社員のスマホで電話業務が完結
サイバー攻撃を遮断!企業を守るセキュリティ商品を完備
ビジネスフォンの各種工事を格安&スピーディに一括対応
オフィスのネットワーク環境構築から配線工事までお任せ
有資格のプロが対応!オフィスの電気工事をフルサポート
オフィス・事務所移転を低コスト&スピーディに徹底支援
IT専門家による経営革新&業務改善コンサルで課題を解決
SEO集客で成功へ導く!丸投げOK&本格運用の”FUKUJIN”
高寿命・省エネのLED蛍光灯でオフィスの電気代を削減
店舗やオフィスの集客力UPに効果的な電光掲示板を販売
「サイドチャネル攻撃」という暗号解読方法があります。
これは、機密情報を盗み出すために機器の動作や状態を観察したり、特殊な機器を用いて機器が発する信号を手がかりに情報を盗み出す方法です。
サイドチャネル攻撃の手口にはいくつか種類があり、手法も巧妙で、対策を取らなければ誰もが被害に遭う可能性があります。
そこで本記事では、サイドチャネル攻撃の基本から攻撃手法、被害事例、効果的な対策までわかりやすく解説します。
この記事の目次
サイドチャネル攻撃とは、機器が発している暗号を解読して情報を読み取る攻撃です。
通常、サイバー犯罪者が情報を盗むには、ウイルスに感染させたり不正アクセスを行います。 しかしサイドチャネル攻撃は、機器が発する信号や正常時と異常時の動作の違いなどから情報を盗み取ります。
暗号を解読して情報を盗む行為に、機器を破壊して暗号を解読する「破壊攻撃」があります。 しかしサイドチャネル攻撃は、機器を破壊せずそのままの状態で暗号を解読するため「非破壊攻撃」になります。
サイドチャネル攻撃とよく似た攻撃の一つに、「テンペスト攻撃」があります。
どちらも機器が発する電磁波や信号を読み取って情報を盗むことを指しますが、サイドチャネル攻撃は暗号を解読する攻撃に対し、テンペスト攻撃は盗聴を目的に行われます。 つまりテンペスト攻撃は、ラジオのように電磁波や信号を受信することはできますが、暗号を解読することはできません。
その点では、暗号化しても情報が知られてしまう「サイドチャネル攻撃の」方が厄介です。
次に、サイドチャネル攻撃の種類を6つご紹介します。
高度な知識と技術が必要な犯罪ですが、今後便利な犯罪ツールが開発されますます増加する可能性もあるので注意が必要です。
タイミング攻撃とは、機器に様々な命令を出し、命令を処理する時間差を分析して情報を盗む攻撃です。
例えば、英字と数字のみで構成される8桁のログインパスワードを見つけ出すために1文字目の英字と数字を全て試し、応答時間を取得します。 入力文字列を少しづつ変えてその応答時間を見ていくことで、隠されたパスワードをあぶり出すことができるというわけです。
電力解析攻撃とは、簡単にいうと「タイミング攻撃の電力版」です。 タイミング攻撃では命令を処理する時間差で暗号を解読しようとしましたが、電力解析攻撃は「電力消費」の違いで暗号を解読します。
つまりコンピュータによる暗号化や複合処理をする際の消費電力を測定し、その消費電力を分析して暗号を解読します。 海外では電力解析攻撃ツールが販売されているため、専門知識のある人なら誰でもできてしまう攻撃です。
電磁波解析攻撃は、コンピュータやIoT機器などの本体やケーブルから発せられる、微量の電磁波から情報を盗み取る攻撃です。
故障利用攻撃は、ICカードについているICチップなどに衝撃を加えて正常に動作しないようにし、ICチップの仕様や設定を変えてしまう攻撃です。
または正常時と故障時の動きを比較し、その差から暗号や情報を盗み取ることもできます。
「キャッシュ」とは、よく利用するデータをあらかじめ端末内に取得しておくことで、データの読み込み時間を短縮する機能です。
キャッシュの中に入っていないデータは、取り出して使うまでやや時間がかかります。 そこでキャッシュ攻撃は、その時間差を利用した攻撃(ページキャッシュアタック)です。
サイバー犯罪者が欲しいデータを無理やり呼び出し、呼び出されるまでにかかる時間によって、キャッシュに入っているデータが何かを推測します。
コンピュータが動くときに発するノイズを解析して、情報を推測し盗もうとする攻撃(音声解析攻撃)です。
サイドチャネル攻撃によって被害を受けた、また改造製品が出回った事例をご紹介します。
地上デジタル放送のテレビを見る際、受信機に差し込むカードを「B-CAS」カードといいます。 このカードを差し込むと、契約した有料放送などを一つの受信機で見ることができます。
しかし2012年に、この「B-CAS」カードを改造して有料チャンネルが登録なしで見放題になる「BLACKCASカード」が出回りました。 B-CASカードのICチップに含まれる暗号を書き換えて、有料チャンネルを登録なしで見られるように改造したものです。
Googleが販売した「Titanセキュリティキー」に、サイドチャネル攻撃によって情報が盗まれる脆弱性が発覚しました。
「Titanセキュリティキー」は、安全・簡単に二段階認証をおこなうための商品です。 ログインした後にUSBポート口にキーを差し込み、表面に触れると二段階認証が完了します。
しかしこの商品本体を分解して「電磁波解析攻撃」を行ったことにより、二段階認証の暗号が解読され突破されてしまう脆弱性が見つかったという事例です。
サイドチャネル攻撃で情報を盗み取られないために、今からできる対策をご紹介します。
サイドチャネル攻撃は、ターゲットの機器がサイバー犯罪者の手元になければほぼ不可能な攻撃です。 ということは、大切な機器を日頃からしっかり管理することである程度は防げます。
【機器の紛失を防ぐには?】
さらに、「機器紛失時のフロー」をしっかり決めておくことも重要です。 機器を紛失したらまずどこへ連絡すべきなのか、社内で統一しておきましょう。
耐タンパー性とは、情報を読み取ろうとする動きを察知した際に機器自体が自動で内部の情報を破壊してくれる性質。 この性質があれば、機器が盗まれたり、サイドチャネル攻撃が行われた際に情報漏洩を防げます。
現在のパソコンや機器にはほとんど耐タンパー性がありますが、まれに古い機種のパソコンを使用する際には耐タンパー性が無いこともあるので注意が必要です。
情報の管理方法は紙、クラウドとさまざまですが、機密情報はなおさら信頼性の高い方法で管理しましょう。
例えば、情報を置く機器としては国際規格の「HSM(ハードウェアセキュリティモジュール)」の導入がおすすめです。 HSMは暗号解読による情報漏洩を防ぎ、情報を適切に管理してくれます。
導入コストがかかりますが、情報漏洩のリスクを抑えられる上に、機器の処理スピードの向上から業務の効率化につながります。
サイドチャネル攻撃を防ぐために、おすすめのセキュリティ対策商品をご紹介します。
「Air Back」は機器内の情報を遠隔で完全に消去してくれるので、PCの盗難や紛失でも安心です。 さらにデータのバックアップや暗号化に優れているため、関係者しか出入りできない安全な空間に大切な情報を保存できます。
「Cyber Box Pro」は、中小企業に必要なセキュリティ機能をひとつにまとめた最高峰セキュリティシステム。
セキュリティソフトを一つひとつ導入すると高額になりますが、CYBER BOX PROは必要なセキュリティ機能をパッケージ化して安価で提供しているため、大変導入しやすくなっております。
「CYBER BOX PRO」の基本機能紹介
またOFFICE110では、通常は10万円以上のセキュリティ診断を無料で実施しております。
「自社にはどんなセキュリティ対策が必要なのか分からない」「何から対策を始めたら良いか分からない」そんな方は、ぜひお気軽にOFFICE110へお問合せください!
現在の機器は、情報が漏洩しないよう暗号化して保存しています。 しかしサイドチャネル攻撃という暗号解読方法によって、情報が盗み出されることがわかりました。
様々な種類がありますがどれも共通しているのは、情報が詰まった対象物がサイバー犯罪者の手元になければできないということです。 大切な機密情報を適切に管理する、機器を紛失しないなど、リスクを抑えるための正しい行動を取ることが大切です。
セキュリティ対策に少しでも不安をお持ちの方は、ぜひOFFICE110へお問合せを。 些細なご相談や無料のセキュリティ診断だけでも、スタッフ一同お待ちしております。
お役立ち情報カテゴリ
