IPA、「スマートテレビ」の脆弱性調査。開発者に注意喚起

スマートテレビの脆弱性が悪用された場合の脅威の例

　独立行政法人 情報処理推進機構(IPA)の技術本部 セキュリティセンターは18日、「スマートテレビの脆弱性検出に関するレポート」を発表した。

　インターネットに接続して様々なサービスが利用できる多機能なスマートテレビにおいて、2012年に脆弱性が発見されたことを受けて、対策の促進を目的に発表したもの。IPAはスマートテレビの脆弱性検出にファジング(fuzzing)が有効であると見て、日本国内外の4機種のスマートテレビにファジングを実施。4機種合計で10件の脆弱性を検出し、「ファジングがスマートテレビの脆弱性の検出に有効」とした。

　ファジングは、何万種類もの問題を起こしそうなデータ(極端に長い文字列など)を対象の機器に送り込み、その機器が異常終了するなどの動作状態から脆弱性などを発見する技術。

　レポートの想定読者は、情報家電メーカーにおける設計・開発・品質保証部門の部門長/担当者や、ファジングに興味のある人など。IPAは「製品開発においてファジングを活用し、脆弱性の低減へつながることを期待する」としている。

　このレポートにおける「スマートテレビ」の定義は、「テレビ放送を視聴できるだけではなく、インターネットや他の情報家電と接続することで、Webサイトや静止画などの閲覧や動画の再生などを実現できる多機能なテレビ」とし、BD/DVDレコーダで録画した番組をLAN経由で視聴したり、USBメモリ/SDカード内の動画などを再生できる機能などを持つテレビを指している。

　2012年に発見された脆弱性が悪用された場合、ネットワーク経由でスマートテレビが再起動される可能性があり、「最悪の場合、スマートテレビ上で任意のコードを実行される恐れがある」と指摘。実際の被害はまだ報告されていないが、「被害が現実になる前に、スマートテレビの脆弱性対策を促進する必要がある」としている。

　IPAはこれまでの活動で、2012年7月末までにブロードバンドルータなど組み込み機器19機種にファジングを行ない、21件の脆弱性を検出。その中でHDDレコーダに対しても脆弱性を検出したことから、同じ情報家電であるスマートテレビについてもファジングを行ない、製品開発におけるファジングの活用方法を今回のレポートで提示している。

　使用したスマートテレビは、日本国内、国外製品合わせて4機種。メーカーや型番は明らかにしていないが、この4機種は異なるメーカーから選定している。2機種は日本企業の製品で、国内の販売シェア上位5位以内のメーカーから選定。残り2機種は、全世界の販売シェア上位5位以内のメーカーの製品を選んでいる。なお、販売シェアは、2012年6月時点のデータを基準としている。

　スマートテレビへのファジングは、「有線LAN機能」、「無線LAN機能」、「機器連携機能」、「Bluetooth通信機能」、「Webブラウザ機能」、「メディア再生機能」の6つに対して実施。使用したファジングツールは、商用製品2種類を中心に、オープンソースソフトウェア9種類(うち内製ツール1種類)の計11種類。なお、使用したオープンソースのファジングツールは、IPAのサイト内でも紹介している。

　2012年8月～2013年2月末までに、対象機種1台あたり約1～2カ月に渡ってファジングを行ない、4機種合計で10件の脆弱性を検出。4機種全てで1件以上を検出したという。なお、検出された脆弱性については、既にそれぞれの製品開発企業へ報告したという。

　機能別にまとめると、前述した6つの機能のうち、無線LAN機能に1件、機器連携機能に2件、Webブラウザ機能に4件、メディア再生機能に3件の脆弱性を検出。これら4機能のうち、3つの機能でオープンソースのソフトウェアが使われていたことから、IPAは「スマートテレビがオープンソースソフトウェアの脆弱性の影響を受けている可能性がある」としている。ファジング方法や結果の詳細は、レポート内で説明している。

　また、IPAが作成した、メディア再生機能に対するファジングツール「Exif Fuzzer(仮称)」は、情報を整理した後、オープンソースソフトウェアとして公開する予定。

　IPAは、「スマートテレビへの攻撃コードを作るハードルは年々低くなってきている。脆弱性の改修に素早く対応するには、改修にかかる時間やコストをどのように削減していくかが重要。これらの課題は、製品開発において業界全体で取り組んでいかなければならない」としている。なお、IPAは、スマートテレビなどの組込みシステムの開発向けのガイドもサイト内で公開している。