sg sg-security-overview threat_vulnerability crypto_auth
まず結論
- サイドチャネル攻撃とは、暗号装置そのものを破壊せず、暗号処理中に外へ漏れる情報から秘密鍵などを推測する攻撃です。
- SG試験では、暗号アルゴリズムを直接解読する攻撃ではなく、処理中の電力・電磁波・時間などを観察する攻撃として判断できるかが問われます。
直感的な説明
サイドチャネル攻撃は、正面から暗号を破るというより、暗号処理の「横から漏れる手がかり」を読む攻撃です。
たとえば、金庫の番号を直接見るのではなく、
- ダイヤルを回す音
- 操作にかかる時間
- 手の動き
- 機械のわずかな反応
から中の情報を推測するイメージです。
暗号処理でも、装置が動作するときには、消費電力、電磁波、処理時間などに小さな違いが出ることがあります。攻撃者はその違いを測定し、統計的に分析して、秘密鍵などの内部情報を推測します。
SG試験では、「暗号を数学的に解読する」よりも、装置の動作から漏れる情報を利用すると考えると切り分けやすくなります。
定義・仕組み
サイドチャネル攻撃は、暗号処理装置から外部に現れる副次的な情報を利用する攻撃です。
代表的な観察対象には、次のようなものがあります。
| 観察する情報 | 攻撃のイメージ |
|---|---|
| 消費電力 | 処理中の電力変化から鍵を推測する |
| 電磁波 | 装置から漏れる電磁波を測定する |
| 処理時間 | 処理にかかる時間の差から情報を推測する |
| 音・熱など | 装置の動作に伴う物理的な変化を利用する |
重要なのは、サイドチャネル攻撃が暗号方式そのものの弱さだけを狙う攻撃ではないという点です。
暗号アルゴリズムが安全でも、実装された装置やソフトウェアの動作から情報が漏れると、秘密情報を推測される可能性があります。
IPAの資料でも、サイドチャネル攻撃は暗号実装やハードウェア評価の文脈で扱われています。詳しく確認したい場合は、IPAの公開資料「ハードウェア脆弱性評価の最新技術動向 に関するセミナー」が参考になります。
基本の流れは、次のように考えると分かりやすいです。
- 暗号装置を動作させる
- 電力・電磁波・処理時間などを測定する
- 測定結果を多数集める
- 統計的に分析する
- 秘密鍵などの内部情報を推測する
SG試験では、細かい解析手法名よりも、「副次的に漏れる情報を使う」攻撃であることを押さえるのが大切です。
どんな場面で使う?
サイドチャネル攻撃は、特に暗号処理を行う機器やソフトウェアで問題になります。
例としては、次のようなものがあります。
- ICカード
- 暗号処理装置
- 組込み機器
- IoT機器
- 認証機器
- セキュリティ機能を持つハードウェア
実務では、暗号アルゴリズムを選ぶだけでなく、実装や運用環境も含めて安全性を考える必要があります。
対策としては、次のような考え方があります。
- 処理時間が秘密情報に依存しないようにする
- 消費電力の変化を読みにくくする
- 電磁波の漏えいを抑える
- 耐タンパ性のある機器を使う
- 評価済みの暗号モジュールを利用する
ただし、SG試験では、これらを技術的に深掘りするよりも、「暗号処理中の物理的・副次的な情報を観察する攻撃」と判断できれば十分です。
選択肢では、次のように書かれていたらサイドチャネル攻撃を疑います。
- 暗号処理時の消費電力を測定する
- 漏えい電磁波を観察する
- 処理時間の差から鍵を推測する
- 装置を破壊せずに内部情報を推定する
よくある誤解・混同
サイドチャネル攻撃は、ほかの攻撃と混同しやすい用語です。
| 用語 | 判断ポイント |
|---|---|
| サイドチャネル攻撃 | 電力・電磁波・処理時間など、横から漏れる情報を使う |
| 関連平文攻撃 | 平文と暗号文の関係を使って暗号鍵などを推測する |
| ソーシャルエンジニアリング | 人の心理や行動の隙を利用して情報を盗む |
| ジャミング | 無線通信に干渉して通信を妨害する |
特に混同しやすいのは、関連平文攻撃です。
関連平文攻撃は、攻撃者が選んだ平文と、その平文に対応する暗号文を利用して、暗号鍵などを推測する攻撃です。つまり、見る対象は平文と暗号文の関係です。
一方、サイドチャネル攻撃で見る対象は、暗号処理中の消費電力・電磁波・処理時間などの副次的な情報です。
SG試験では、次のように切り分けます。
- 平文と暗号文の関係を見る → 関連平文攻撃
- 人の操作や心理を利用する → ソーシャルエンジニアリング
- 無線通信を妨害する → ジャミング
- 電力・電磁波・時間などを測る → サイドチャネル攻撃
選択肢では、「暗号化装置の消費電力」「漏えい電磁波」「処理時間」といった言葉が出たら、サイドチャネル攻撃を選ぶ判断材料になります。
まとめ(試験直前用)
- サイドチャネル攻撃は、暗号処理の外側に漏れる情報を使う攻撃です。
- 観察対象は、消費電力・電磁波・処理時間などです。
- 暗号アルゴリズムそのものではなく、実装や装置の動作が狙われます。
- 関連平文攻撃は、平文と暗号文の関係を見る攻撃です。
- SG試験では、「何を観察しているか」で選択肢を切るのがポイントです。
🔗 関連記事
- AESとは?共通鍵暗号方式として押さえる基本【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】