遠隔操作で航空機を乗っ取り、セキュリティ研究者がデモ

[鈴木聖子，ITmedia]

　オランダのアムステルダムで開かれたセキュリティカンファレンス「Hack-in-the-Box」で、航空機に遠隔操作で攻撃を仕掛けて制御するデモが披露された。

　発表を行ったのはドイツのコンサルタント会社n.runsに勤務する研究者ヒューゴ・テソ氏。操縦士の資格を持つことから航空機のセキュリティに興味を持つようになったという。

　Hack-in-the-BoxのWebサイトに掲載された発表概要によると、この攻撃では標的とする航空機に一切の物理的なアクセスは必要とせず、全て遠隔操作で航空機を制御することが可能だという。カンファレンスの発表では実験環境で仮想航空システムを使ってこれを実証した。

　テソ氏は「航空機に搭載されたシステムは、その複雑さゆえに、一般的な脆弱性研究や悪用の手口に対して脆弱」だと解説している。

　セキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、テソ氏は民間機で実際に使われているシステムを正確に再現した仮想環境を、全てeBayで入手したというハードウェアとソフトウェアで構築。航空機と地上局の間でデータをやり取りするシステム「ACARS」の脆弱性を見つけ出し、仮想環境の中で実際の航空機のコードを使って飛行管理システムを乗っ取って見せたという。

　攻撃の準備には航空機の位置や高度を知らせるシステム「ADS-B」も利用した。ADS-Bにはセキュリティ対策が存在しないも同然で、それなりの知識がある攻撃者なら、このシステムを使って航空管制通信を盗聴して操作し、航空機に不正なコードを挿入することができてしまうとテソ氏は主張しているという。

　なお、Forbesによれば、Honeywellなど航空機のシステムを手掛ける各社や米連邦航空局（FAA）は、テソ氏の攻撃は実際の航空機に対しては通用しないとコメントしているという。