Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

超小型PCは物理セキュリティを変えていく

考えてみた。

RaspberryPiの新商品がまもなく国内でも販売される様です。「Raspberry Pi Pico」の価格は4ドル、日本では550円前後で販売が予定されおり、こうした超小型PCの普及により物理セキュリティの概念が徐々に変わっていきそうです。

monoist.atmarkit.co.jp

英国Raspberry Pi財団は2021年1月21日(現地時間)、スタンドアロンマイコンボード「Raspberry Pi Pico」を開発したと発表した。Armの「Cortex-M0+」をデュアルコアで搭載する、同財団が独自に設計したマイコン「RP2040」を採用しており、価格は4米ドル。国内ではスイッチサイエンスやKSYなどが取り扱いを表明しており、税込み価格はスイッチサイエンスが550円、KSYが528円となっている。

(中略)

Raspberry Pi Picoの最大の特徴は、Raspberry Pi財団が独自に設計したマイコンのRP2040を採用していることだ。RP2040は、動作周波数133MHzのデュアルコア構成のCortex-M0+と、264KBのRAMをオンチップメモリで搭載している。フラッシュメモリは、専用QSPIバスを介して最大16MBをオフチップで利用できる。この他、DMAコントローラーや補間器、整数除算器なども搭載している。入出力インタフェースでは、4本のアナログ入力を含むGPIO×30、UART×2、SPIコントローラー×2、I2Cコントローラー×2、PWMチャネル×16、USB 1.1(ホストおよびデバイスサポート付きのコントローラーおよび PHY)×1、プログラマブルI/O×8などとなっている。これらの機能は、40nmプロセスで製造された2×2mmのシリコンダイと、外形寸法7×7mmの56ピンQFNパッケージに詰め込まれている。

(monoist記事より引用)

 

キタきつねの所感

Raspberry Piの新商品は、良くも悪くも世界を変えていく気がします。機能はかなり限定的ですが1000円を切るツールの登場によって、様々な分野でこうした超小型PCの活用検討が進む事が予想されます。

良い面で言えば、例えば教育用でプログラミングの授業での活用、簡単なIoT機器(スマートスイッチ的な機能はすぐに実現できそうです)、産業用機器の制御などでも利用されていく、あるいは既存の家電の性能を向上させる様な補助的な機器も出てくるかも知れません。

しかし、ハッカー側もこうした安価なツールの「ビジネス活用」を検討するのは間違いないかと思います。

 

今回の新商品は従来のRaspberry Piと異なり、Linux OSが搭載不可C/C++,MicroPytohonをサポート)ですし、USBケーブルやピンヘッダも付属されていませんし、別途SDKGCCを買う必要が出てきそうですが、本体が送料込み1000円程度で入手可能になると考えると、(何の用途に使うかは別にして)テストしてみたいと思われる方は多いのではないでしょうか。

【未発売】Raspberry Pi Pico - スイッチサイエンス

Raspberry Pi Shop by KSY

 

Raspberry Piと言えば超小型PCで有名ですが、現在のPi4(市販価格6000~7000円程)でも名刺サイズです。

※「Raspberry Pi Pico」は明らかに機能が削られている事が分かります。

【国内正規代理店品】Raspberry Pi4 ModelB 4GB ラズベリーパイ4 技適対応品【RS・OKdo版】

【国内正規代理店品】Raspberry Pi4 ModelB 4GB ラズベリーパイ4 技適対応品【RS・OKdo版】

  • メディア: Personal Computers
 

 

形状が少し違う小型PCではマウスコンピュータがUSBスティック型のPC(Win10搭載)を出していますが、市販価格で1.2万円弱です。

mouse パソコン スティックPC MS-NH1-W10 Windows10/2GB/32GB

mouse パソコン スティックPC MS-NH1-W10 Windows10/2GB/32GB

  • 発売日: 2015/08/03
  • メディア: Personal Computers
 

 

これらの従来の超小型PCに比べると「Raspberry Pi Pico」は機能がほとんどありませんが、価格以外で(ハッカーにとって)魅力となると思うのがその重さです。約3gの本体は、言い方が悪いのですが、どこにでも持ち込む事が可能かと思います。

これだけ小型化が進むと、金属探知機(特に手動タイプ)で不審な機器を検出するのは難しい気がします。悪意のある内部協力者や、攻撃者が予めプログラミングされた安価な「Raspberry Pi Pico」を使って(複数個所への)攻撃を仕掛けてくる、そんなシナリオは、そう遠くない将来に現実化しそうな気がしてなりません。

 

「考えすぎでないか?」と思われる方も多いかも知れません。

しかしBlackHat等ではハッカーが既存のRaspberry Piを使ったATM(ジャックポット)攻撃が可能である事を既に実証しています。

securityaffairs.co

youtu.be

 

はるかに小型な「Raspberry Pi Pico」は、攻撃ツールとして(上手に)仕掛けられてしまうと検出するのは大変だと思います。

(「Raspberry Pi Pico」は)機能が絞られているが故に、上記の映像の様な攻撃(無線LANも使っています)は難しい訳ですが、ハッカーはそのメリットとデメリットをよく研究して、攻撃可能なパターンを色々と研究してくるのかと思います。

超小型PCは、便利な使い方を含め、セキュリティ関係者(防衛側)が避けて通れない”要素”になっていく気がします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

小型パソコンのイラスト

 

更新履歴

  • 2021年1月22日 AM