無線タグとも呼ばれる「RFID(Radio Frequency IDentity)」は、非常にコンパクトで手軽に情報が記録でき、非接触型でセンサーの近くを通るだけで記録情報の読み書きが行える。物流や商店での商品管理、医療に安全管理など、バーコードに変わる次世代の商品や情報の管理システムとして、その将来性に大きな期待が集まっている。無線による情報通信だけでなく、ごく少量のデータの書き込みも可能なため、商品の製造場所や種類、賞味期限、流通経路などを逐一細かく記録していくことも可能だ。だが、この機能が裏目に出て、ハッカーたちの攻撃に利用されることはないのだろうか。オランダはアムステルダムにある大学の3人の研究者たちが、世界でも初となるRFIDタグ上で動作するウイルスを作成したと研究論文で発表した。

この論文をイタリアのピサで開かれた学会で発表したのは、Melanie R. Rieback氏、Bruno Crispo氏、Andrew S. Tanenbaum氏の3人。アムステルダムにあるVrije Universiteit Amsterdam(「Vrije Universiteit」は「Free University」の意味)のコンピュータシステムグループの研究者だ。3人は論文の中で、RFIDタグのデータ記述エリアが「バッファオーバーフロー」や「SQLインジェクション」といった攻撃に利用される可能性を指摘しており、実証のために記述したRFIDタグ用ウイルスを披露した。これまで可能性としては考えられていたものの、実際にRFIDウイルスは発見されたことがなく、Rieback氏らによれば、これが世界初のRFIDウイルスになるという。

バッファオーバーフローとは、通常想定しているよりも長いデータを送信して、システム上のメモリ領域に直接実行可能なプログラムを送り込むテクニックである。一方のSQLインジェクションは、送信したデータがバックエンドのデータベースで利用されることを想定して、データの中にSQL文をあらかじめ埋め込んでおき、バックエンドのシステムが当該のデータを読み込んだ際に、通常とは異なる動作をさせる技術だ。この2つのテクニックはどちらもシステムの脆弱性を利用したものだが、これを駆使することでシステムの乗っ取りなどの悪影響を与える、いわゆる「マルウェア(Mal-ware)」と呼ばれるプログラムの記述が可能となる。

これまで、こうしたRFIDウイルスの登場が指摘されつつもその存在が確認されてこなかったのは、RFIDタグの利用があまり広まっていないという要因以外に、マルウェアのようなプログラムを記述するだけの十分なメモリ空間が、RFIDの中にはほとんど存在しないと考えられていたからだ。ところが今回の論文で示されたウイルスは、わずか百数十バイトのコードで記述されており、将来的にこうしたプログラムが登場する可能性を十分に示している。

ただしRFIDウイルスはプラットフォームに対する依存性から、すべての環境において必ずしも一様に動作するわけではない。Windows向けのウイルスがWindows上でしか動作しないように、RFIDウイルスもターゲットとなるデータベースやミドルウェアなどの環境を選ぶことになる。そのため、現状のPC向けウイルスのように、爆発的に被害が拡大するとは必ずしもいえない。今回の論文は、3人の研究者が実験的に作り出したRFIDの管理システムにおいて、OracleやMicrosoft SQL Server、MySQL、Postgresといったデータベースをバックエンドで動作させたときに、RFIDウイルスが機能することを示したものだった。

今回の世界初のRFIDウイルスの登場が、即座にRFIDを利用したシステム全体の脅威として波及するわけではない。だがウイルス登場の可能性を示したことで、今後RFIDのシステムを構築する開発者は、通常のWebシステムやPC向けのプログラムを組むのと同様に、バッファオーバーフローやSQLインジェクションなどの可能性を最大限に考慮してプログラムを行わなければならなくなった。両脆弱性ともに、データを読み書きする際に余分あるいは想定外のデータが含まれていないかをチェックすれば問題を回避できる。