「誤った位置情報で事故に」 船舶や鉄道にも脆弱性のリスク（2/2 ページ）

[高橋睦美，ITmedia]

　1つは「船舶」です。Rosen Groupのステファン・ゲリング氏は「最新の船舶は『スマートシップ』『泳ぐIoTデバイス』になっている」と述べています。

　同氏の説明によると、最新のクルーザーやヨットでは、GPS、自動船舶識別装置（AIS：Automatic Identification System）やエンジンモニター、コンパス、トランスデューサー（変換機）といった複数のコンポーネントが「NMEA 2000」というネットワークバスを介してつながっています。一方、クルーや乗客向けの無線LANアクセスポイントやスマートTV、VoIP対応の電話といったデバイスも用意され、TCP/IPネットワークでつながりルーターを介してインターネットに接続されています。これを利用してiPhoneやiPadから照明や空調のコントロール、エンジンのモニタリングが可能なサービスもあります。そしてNMEAとTCP/IPという2つのネットワークが、ゲートウェイを介してつながっているのです。

　この構造、どこかで見たことがないでしょうか。CAN（Controller Area Network）で各種コンポーネントが接続される一方、インフォテイメント用のネットワークも用意され、そこに脆弱性が指摘された――かつてのクルマとそっくりです。そして残念ながら、船舶の場合、セキュリティはまだあまり考慮されていないとゲリング氏はいいます。

　具体的には、誤った位置情報を与えるGPSジャミングやGPSスプーフィング、あるいはAISスプーフィングといった攻撃によって「海図上に誤った船舶位置を示し、事故を引き起こす恐れがある」（同氏）そうです。

　その上、ヨットのインフォテイメント用に搭載されているルーターを調査したところ、「コントロール用ソフトにいくつかの問題が見つかった。FTPで接続できる上、設定ファイルがXML形式になっており、悪意あるユーザーが改ざんしたファイルをアップロードするとそのまま乗っ取りが可能だ」（ゲリング氏）ということも分かりました。他にも、ファイアウォールや認証に相当する機能がなかったり、メーカーのリモートサポート用にハードコードされたアカウントが用意されていたりと、目を覆うような状態だったそうです。

　ゲリング氏がメーカーに脆弱性を通知したところ、一部は修正されたそうですが、残念ながら未修正の問題も残ったままだそうです。また「ファームウェアがリリースされたのはいいけれど、それをどのように利用者に配布し、インストールしてもらうかという問題も残っている」と同氏は指摘し、「つながる船」をめぐる対策はまだこれからだと説明しました。

　また別のセッションでは、セキュリティ企業のWaterfall Security Solutionsのジーザス・モリーナ氏が「つながる鉄道システム」のリスクを取り上げました。北米で利用されている鉄道システム「Positive Train Control」は、20以上の異なるサブシステムから構成されています。非常に複雑であり、サブシステムがそれぞれ異なるリスクを抱えているそうです。

　詳細にまでは立ち入りませんでしたが、モリーナ氏は「鉄道コントロールネットワークは人命に関わるクリティカルなものだ。ファイアウォールのような人手による設定が必要な対策はそぐわないし、既存のソフトウェアやハードウェアとの共存も必要だ。ITクラスのセキュリティ対策をそのまま車両に適用すべきではないだろう」と述べ、システムの特性に合わせた対策を進めていくべきだと結論付けました。

　「えっ、こんなものまでインターネットにつながってるの」と驚かされる時代。そのリスクを過大に受け取らず、過小に見くびることなく向き合うことが重要だと感じさせられました。