メニューを閉じる
2020年12月5日(土)
9603 : 旅行・ホテル
東証1部
JPX日経400採用

【格安航空券最大手】パック旅行も展開。ハウステンボスが軌道に。

現在値(15:00):
1,735
前日比:
-38(-2.14%)

トヨタもハッカー頼み 脆弱性発見「テンセントに敬意」
サイバー攻撃 足りぬ人材(下)

ネット・IT
2020/10/27 11:00
保存
共有
印刷
その他

レクサス「NX300」はテンセントのセキュリティーチームから脆弱性を指摘された

レクサス「NX300」はテンセントのセキュリティーチームから脆弱性を指摘された

「提供された情報を真摯に受け止める」。トヨタ自動車は3月、レクサスの多目的スポーツ車「NX300」に脆弱性が見つかったと発表した。指摘したのは中国IT大手・騰訊控股(テンセント)のセキュリティー研究チームだ。過去に米テスラなどからも表彰されたことのある、脆弱性を見つけるプロ集団だ。

「走る・曲がる・止まる」に関わる制御はできないが、車体のパーツの一部を遠隔操作できるという。トヨタは「極めて高度なプログラムが必要」として、現実に悪用される可能性は低いと分析する。だがトヨタ自身の手では問題を見つけられなかった。なお、日本で販売している車両にはこの脆弱性はない。

トヨタは指摘を受けてから半年間かけて脆弱性を解消し、対策を完了した3月に事実を公表した。金銭の謝礼は支払っていないが、プレスリリースにこのように記した。「(テンセントの)技術力に敬意を払う」

企業が自社製品やシステムの弱点を見つけるため、外部の研究者や善意のハッカーの手を借りる動きが広がっている。トヨタの例が示すように、実際に攻撃を試みることで初めて発見できる脆弱性があるからだ。

背景には、見つかった欠陥の深刻度に応じて謝礼を支払う「バグ報奨金制度」の普及がある。米グーグルなどIT企業のほか、米スターバックスや独ルフトハンザも制度を導入。最大手の米ハッカーワンでは2019年、合計で4千万ドル(約42億円)が報奨金としてハッカーに支払われた。

日本企業の利用も増えている。ソニー・インタラクティブエンタテインメント(SIE)は6月、プレイステーション4関連のバグを見つけたハッカーに最高5万ドルを払うと発表した。これまで非公開だった取り組みを広く一般に公開し、より多くのハッカーの力を借りることに決めた。開始後約4カ月で、SIEはハッカーに総額約28万ドルを支払った。任天堂LINEも報奨金制度を拡充している。

企業が頼りにするのは、ハッカーワンに登録する60万人の技術者だ。

情報処理推進機構(IPA)の「IT人材白書2020」によると、日本ではIT技術者の7割超が富士通NECなどのIT企業に所属する。米国では対照的に、IT企業で働く技術者は4割以下。企業を渡り歩く技術者も多く、バグの発見を通じて自分を高く売り込むという動機もある。

19年には、累積で100万ドル以上の報奨金を稼いだハッカーも登場した。アルゼンチン在住で当時19歳だったサンティアゴ・ロペス氏だ。独学で技術を学び、4年間で米ツイッターなど複数の企業に合計1600件以上のバグを報告した。

トレンドマイクロの調べでは、19年4月から20年3月までにサイバー攻撃を受けた国内企業の平均被害額は1億4800万円にのぼる。ハッカーへの報奨金は、被害時のコストなどと比べて割安だと判断する企業は増えている。

ただし、対応を誤ればリスクにもなる。

19年10月、米国人のハッカーがツイッター上でHISが経営する「変なホテル」の脆弱性を公開した。ロボットのカメラを遠隔操作して、客室の様子をのぞけるという。ハッカーはホテル宿泊時に発見して報告したが「90日間反応がなかったので公開した」と説明した。HISは即座に謝罪し、対応したと発表した。

年間500万円の報奨金を稼ぐハッカーでもある、三井物産セキュアディレクションの米山俊嗣氏はこう指摘する。「海外企業の多くは脆弱性を見つけて通報すると感謝してくれる。一方で、余計な報告をするなと怒る日本企業はまだ多い」。ハッカーの知見を活用するには、世界基準の対応力を備える必要がある。

■社外連携、システム複雑に

企業が外部のハッカー活用を積極化するのは、自社だけでセキュリティー対策を完結できなくなってきたからだ。象徴は9月に発覚した「ドコモ口座」を巡る、預金の不正引き出し問題だ。

NTTドコモは銀行側が利用者の本人確認をしているとの立場だった。匿名のメールアドレスの登録だけで口座開設を許した理由はここにある。

一方で一部の銀行は、キャッシュレス決済などで標準的な「2要素認証」に対応していなかった。口座番号と暗証番号の入力のみで、本人確認していたケースもある。

脆弱性診断などを手掛けるイエラエセキュリティ(東京・千代田)の牧田誠社長は「ドコモと銀行との間でコミュニケーションが不足し、責任が曖昧になったのではないか。その穴を犯罪者に突かれた可能性がある」と指摘する。

様々なシステムが複雑に連携するのは金融業界に限らない。例えば自動運転では、ITとハードウエアの両面で深い知識が必要だ。ネットにつながる医療機器が増え、病院を狙うサイバー攻撃も急増している。被害に遭う前に欠陥を発見するには、視点の転換が有効だ。善意のハッカーの役割は今後も高まりそうだ。

小河愛実、岩沢明信、島津忠承、原欣宏、桜井豪が担当しました。

保存
共有
印刷
その他

電子版トップ日経会社情報デジタルトップ

ニュース(最新)  ※ニュースには当該企業と関連のない記事が含まれている場合があります。

237件中 1 - 25件

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6...
  • 次へ
【ご注意】
・株価および株価指標データはQUICK提供です。
・各項目の定義についてはこちらからご覧ください。

便利ツール

銘柄フォルダ

保有している株式、投資信託、現預金を5フォルダに分けて登録しておくことで、効率よく資産管理ができます。

スマートチャートプラス

個別銘柄のニュースや適時開示を株価チャートと併せて閲覧できます。ボリンジャーバンドなどテクニカル指標も充実。

日経平均採用銘柄一覧

日経平均株価、JPX日経インデックス400などの指数に採用されている銘柄の株価を業種ごとに一覧で確認できます。

スケジュール

上場企業の決算発表日程や株主総会の日程を事前に確認することができます。

株主優待検索

企業名や証券コード以外にも優待の種類やキーワードで検索できます。よく見られている優待情報も確認できます。

銘柄比較ツール

気になる銘柄を並べて株価の推移や株価指標(予想PER、PBR、予想配当利回りなど)を一覧で比較できます。

  • QUICK Money World