ワシントン大学の科学者らは、悪人が最終的にDNAデータをハッキングする方法を実証した。
アラン・ボイル著
コンピューター科学者たちは、DNAをデータ保存と情報処理の新たなフロンティアに変えつつあるが、ワシントン大学のチームは、それがサイバー犯罪のフロンティアにもなる可能性があると述べている。
研究者たちはその主張を証明するために、悪意のあるコンピュータコードの断片を合成DNAの文字列に変換し、それを使ってDNA配列から得られる生のファイル内のパターンを検索するようにプログラムされたコンピュータを制御した。
また、DNA配列データの分析に使用されるオープンソースソフトウェアプログラムの多くに、既知のセキュリティ上の欠陥があることも発見されました。
ワシントン大学のセキュリティおよびプライバシー研究ラボと分子情報システムラボの研究結果は、8月17日にブリティッシュコロンビア州バンクーバーで開催される第26回USENIXセキュリティシンポジウムで発表される予定だ。
研究者たちは、DNAデータ処理はまだ実験段階にあるため、悪意のある者が分子マルウェアを悪用することは不可能だと強調した。しかし、DNAベースのコンピューティングが進歩するにつれて、サイバーセキュリティの観点を無視すべきではないとも述べた。
「コンピューターセキュリティコミュニティで私たちが心がけていることの一つは、『ああ、敵がやってきて私たちのドアをノックしているのに、私たちは準備ができていない』という状況を避けることです」と、ワシントン大学ポール・G・アレンコンピューターサイエンス・エンジニアリング学部の教授で、この研究の共著者である河野忠義氏はニュースリリースで述べた。
「むしろ、『今の軌道のままでいけば、10年後には敵が現れるかもしれない。だから、問題になる前に、セキュリティを強化する方法について今から話し合いを始めよう』と言いたい」と、コネクテッドカーや埋め込み型医療機器のセキュリティ脆弱性を研究してきた河野氏は述べた。
脆弱性が解決されなければ、将来的にはDNAデータベースにハッキングして貴重な医療情報を盗んだり、個人の遺伝子プロファイルに関する偽の情報を埋め込んだりすることが可能になるかもしれないと、コーノ氏とその同僚は述べた。
DNA分析に使用されるソフトウェアのセキュリティギャップを埋めることは、主にコンピュータ業界のベストプラクティスに従うことだと研究者らは述べた。
「私たちのDNAエクスプロイトは、ソフトウェア業界が長年にわたり対処してきた既知の脆弱性を利用しています」と、セキュリティ&プライバシーラボの研究科学者で共著者のカール・コッシャー氏はGeekWireへのメールで述べた。「しかし、多くのDNA分析ツールはプロのソフトウェア開発者によって開発されたものではなく、セキュリティを考慮して開発されたものでもないようです。」
修正は比較的簡単だが、プログラマーは DNA コードについても、より一般的な種類のコンピュータ コードと同様に注意する必要がある。
「簡単に言えば、DNA配列データを分析するために使用されるソフトウェアは、他のソフトウェアパッケージと同じレベルのセキュリティ脆弱性の精査を受けるべきだと私たちは考えています」と、研究の共著者でアレンスクールの准教授であるルイス・セゼ氏はGeekWireへの電子メールで述べた。
警告の中には、少なくとも2つの朗報があります。1つは、ワシントン大学のチームが考案したような悪意のあるDNAコーディングは、生物の働きには影響を与えないということです。最悪の場合でも、それらの生物のDNAを分析することによって生成されるデータにのみ影響を与えるでしょう。
もう一つの朗報は、分子マルウェアの作成が研究者の予想よりも困難だったことだ。
「DNAを介してエクスプロイトを配信することは、多くの新たな制約をもたらします」とコッシャー氏は述べた。「例えば、生のx86命令をDNAとしてエンコードすると、様々な点で化学レベルで構造的に不安定な配列が生成されます。」
言い換えれば、分子レベルであっても、母なる自然を騙すのは良くないことだ。
USENIX の調査研究「コンピューター セキュリティ、プライバシー、DNA シーケンシング: 合成 DNA によるコンピューターの侵害、プライバシー漏洩など」には、Koscher、Ceze、Kohno の他に、Peter Ney と Lee Organick も著者として名を連ねています。
