情報処理安全確保支援士　平成31年春　問7

【解答】
ア 暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって、当該装置内部の秘密情報を推定する攻撃

【解説】

サイドチャネル攻撃とは？

サイドチャネル攻撃を理解するために、金庫破りを例に考えてみましょう。

金庫を正面からピッキングしたり、ドリルで穴を開けたりするのが、一般的なハッキング（サイバー攻撃）です。

これに対して、金庫のダイヤルを回すときの「カチッ」というかすかな音や、指に伝わる感触の違いといった 「横（サイド）から漏れてくる情報」 を頼りに暗証番号を突き止めるのが 「サイドチャネル攻撃」 です。

この仕組みはどのように動き、どのように対策されているのか

仕組みの動き

例えばPCやスマートフォン、ICカードなどの機器が、パスワード認証や通信の暗号化といった秘密の処理を行います。
攻撃者は、その機器の近くに特殊なセンサー（電力や電磁波を測る機械）を置きます。
機器が処理を行うたびに漏れ出る、ごくわずかな電力消費の変化や電磁波のパターンを大量に記録します。
記録した膨大なデータを専門のソフトウェアで統計的に分析し、処理内容のパターンと照合して、内部の秘密情報（暗号鍵など）を割り出します。

対策しているのは誰か

この問題に主に対応・管理するのは、機器やソフトウェアを開発するメーカーや開発者です。

具体的には、CPUを作るインテルやAMD、スマートフォンを作るAppleやGoogle、ICカードを作るメーカーなどです。

彼らは、以下のような対策を製品に組み込んでいます。

• 処理による電力消費の差が出ないように、常に一定の計算を行う。
• わざと無関係な処理（ノイズ）を混ぜて、分析を困難にする。
• 電磁波が外部に漏れないように、機器を特殊な素材で覆う（シールドする）。

具体的にこの仕組みを確認する方法

一般の利用者がサイドチャネル攻撃を直接試したり、観測したりすることは、専門機材と高度な知識が必要なため、ほぼ不可能です。

しかし、自分の使っている製品が対策されているかを確認する間接的な方法はあります。

確認方法

1. 脆弱性情報を確認する

製品の脆弱性（セキュリティ上の弱点）は、「CVE（共通脆弱性識別子）」という世界共通の番号で管理されています。

お使いのPCやスマホのメーカー名や製品名と、「CVE」「サイドチャネル」といったキーワードで検索すると、過去にどのような脆弱性が見つかり、対策されたかを知ることができます。

（例： Intel CPU CVE サイドチャネル ）

2. ソフトウェアを常に最新の状態に保つ

メーカーは、サイドチャネル攻撃などの脆弱性が発見されると、OSやソフトウェアのアップデートを通じて対策プログラムを配布します。

私たちができる最も簡単で効果的な対策は、パソコンやスマートフォンのOS、アプリを常に最新の状態にアップデートしておくことです。
これにより、既知の攻撃から身を守ることができます。

各選択肢の解説

ア：サイドチャネル攻撃（正解です）

コンピュータは計算をするときに、電気を使ったり、熱を出したり、かすかな音や電磁波を出したりします。
この「電気の消費量」や「熱」といった、本来は秘密とは無関係な「横から漏れる情報」をたくさん集めて分析し、最終的に暗号を解くための「秘密の鍵」を推測できてしまいます。
これが、まさにサイドチャネル攻撃の典型的な手口です。

イ：暗号解読

これは、暗号のルールそのものの弱点（数学的な弱点）を見つけ出して、正面から解読する方法です。
例えるなら、金庫の設計図を見て弱点を探し、理論的に開ける方法です。横から漏れる情報は使いません。

ウ：ショルダーハッキング

これは「盗み見」のことです。カフェや電車でパソコンやスマホを操作している人の後ろから、パスワードなどを盗み見る行為です。
非常に原始的ですが効果的な攻撃で、ソーシャルエンジニアリングという心理的な隙を突く攻撃の一種です。

エ：DoS攻撃

これは、お店に大量のイタズラ電話をかけて、他の人が電話を使えなくするような「嫌がらせ」です。
サービスを妨害するために大量の通信を送り、利用不能にする攻撃で、情報を盗むのが目的ではありません。

※この解説はAIを利用して作成しています。
　内容の確認は行っていますが、もし問題があった場合は指摘いただけますと幸いです。