JapanDrone 2022 協賛レポート -Vol.02

GMOサイバーセキュリティ byイエラエは、「誰もが犠牲にならない社会を創る」をテーマに、創業以来、脆弱性診断に注力をしております。
「最強攻撃」、「最高品質」、そして「最低価格」、イメージとしては、皆様とよりよいものを、我々としては診断というものを使って、皆様と一緒により良いものを世の中に出していって、より良い世の中を創っていきたい、こういうことを行っている会社です。
弊社は現在120名と、国内トップクラスのホワイトハッカーを含む数多くのセキュリティエンジニアを抱えております。また、ハッキングコンテストで世界1位ということですが、ここに書かれていないほかのコンテスト等でも好成績を収めている社員がいます。
皆様の中にはイエラエセキュリティという名前でご存知の方もいらっしゃるかもしれないですが、2022年4月にGMOインターネットグループにジョインしまして、現在はGMOサイバーセキュリティ byイエラエとなっています。

ホワイトハッカーという単語はマーケティングでよく使われますが、イメージとしては、企業に対していろいろ攻め込んでくる攻撃者の知見を持って、それを皆様と一緒に安全なものづくりをするために、どういうことをしたらよいか、あるいはどういう攻撃の穴があるか、を調べるとか、またそれをどのように直せばいいかというところに知識を活用できる人たちのことです。攻撃をする者が悪いことで使う知識を、守る側に使える人たち、いわば正義の味方です。

私は高度解析部高度解析課課長ということで、ドローンを解析している側の人間でございます。私のいる課では、主にIoT機器、ドローンやそれ以外でもテレビやゲーム機、車載機器など診断して、安全にするといったことを行っております。

いろいろな形がありますが、例えばアメリカのDEF CONだと、ハードウェアとして銀行のATMが本当に置いてあります。それに攻撃をして、中からお金を取れたらもらっていいから、どうぞやってくれと。チャレンジャーは好きに椅子に座って、パソコンを操作してお金が出せたらもらって帰る。そんな感じのコンテストがあります。

はい。そういうことになります。

デモの説明に入る前に、まずドローンの状況をご説明します。

国内のドローンビジネス市場の想定年間平均成長率は22.8％増とありますが、様々な展示等見ていただければお分かりのように、ドローンの利用がどんどん増えていっています。業界でも、物流、農業、点検等々、様々な分野で利用が進んでいます。

ドローンが最近高度化・自動化が進行していて、それに合わせてサイバー空間とフィジカル空間の融合も進んでいます。イメージとしては、以前はプロコンを手に持ってドローンを運転するのが主流でしたが、近年はPC等と接続して、フライトプランをドローン側に入れ込んであげると、ドローンがそれに従って自由に飛ぶものがあるほか、コントローラー側もスマホ等でカメラの映像がこちらに届いて、スマホの画面上にまさしくゲームみたいな感じでドローンが制御できるといったことが進んでいます。

言い換えると、インターネットやパソコン同士が通信するのと同じネットワークに、ドローンがつながるようになってきたということ。それは、つまりセキュリティ上のリスクが複雑化しているということ、今までIoT機器がインターネットにつながると何か問題が起きますよ等々、色々なところで言われたりもしているのですが、それがそのままドローンの世界にどんどん入り込んできていると。そういうイメージを持っていただければ間違いでないかなと思います。

そうですね。IoT機器が色々なシステムに接続して、ドローンの未来もどんどん広がっていくというのはもちろん非常に素晴らしいことだと思っていますが、その時に攻撃者も穴を狙おうとする。ということで、安全を付加した状態でどんどん良くしていくということが重要になってきます。

先行している例だと自動車です。皆様も自動車を運転していて、カーナビゲーションが「この先の道が混んでいます、なのでルートを変えましょう」などと案内することがあると思います。これは、カーナビが外のシステムに対して、様々なルートで通信して実現しています。自動走行など、自動車もネットワークにつながって、より良く、より面白いものができあがっていきますが、ならばどうすれば安全になるだろうか、問題があるのだろうかという検討がかなり先行して進んでいます。ドローンも今後、そういう形になっていくだろうと考えられます。

また、ドローンによる事故も色々報告されています。事象としては海外が多いですが、日本でも、最近法改正などが進んで、さらにドローンの利活用が進むということで、脅威が日本でも発生する可能性はあると考えています。
では、ここから、サイバー攻撃リスクの話に入ります。

ドローンに対するサイバー攻撃リスクは代表的なものが2つあります。データ漏えいと不正操作です。

まずデータ漏えいです。プロポやスマホなどからドローンが操作できるようになるという話をしましたが、例えばカメラ映像とドローンの位置情報が本来の操作者以外の攻撃者によって入手できる状態になると、何が考えられるか。機密エリアでドローンを使って確認していた場合、それらの情報が攻撃者に渡ってしまうと、機密エリアの情報を得るためのツールとして悪用されてしまうということもあるでしょう。

もう一つが不正操作です。ネットワーク経由でフライトコントローラーに何らかの命令を送れるようになっている場合、もしここに脆弱性があると、不正な操作指令を送り込んで実行できるということになります。また、ファームウェアのアップデートをする時に、本当にそのファームウェアが正しいものかということを検証してあげないと、攻撃者が細工した偽のソフトウェアを書き込まされてしまって、悪意のあるファームウェアが実行されてしまう可能性もあります。

DEF CONなどで「自由にやっていいよ」と言われたら、ドローンを使って、従業員しか入れないエリアに従業員の後ろをついて入っていくことをやるかもしれません。

はい。また、自律運転も法改正によってどんどん広がっていくと思われますが、例えば荷物を配達するドローンを攻撃して、送り先を書き換えて受け取ることもあるかもしれません。様々な不正操作による影響もあるということになります。

ドローンに想定されるサイバー攻撃例をお話ししてきましたが、これらをまとめると、「通信の強制切断」「不正な制御信号の送信」「情報の窃取」「GPS偽装」の4つです。このうち、今からデモで行うものは、「不正な制御情報の送信」と「情報の窃取」です。
ファームウェアはArduPilotで、一般的に入手可能でオープンな規格のものを使って、一般的な構成として作成してあります。そこに私がPCを使って、ドローンを攻撃してみようというデモです。

はい。再現手順は以下の4つです。

1.ドローンが接続されているWi-Fiに接続
　→墜落or何らかの方法で奪取したドローンから情報を抜き出した想定
2.Wi-Fi内でネットスキャンを実施し、攻撃対象のドローンのIPアドレスを特定
3.攻撃コードを実行
4.DisArm処理がドローン側で実行され、正規の操作者の意図にかかわらず動作が停止

今回のデモでは、1と2は完了しているものとして、3と4を今から実行しようと思います。

今から攻撃をしてみたいと思います。

一般的に、攻撃を行おうとする場合はその場でプログラムを組もうとするのではなく、あらかじめ準備をしておいて、現地に行ってコマンドを実行してみて、動いたら儲けものといった感じで行われることが多いです。

そうですね。先ほど行ったものは、同一ネットワーク上からの攻撃でした。なので、複数台が協調動作していて、同じネットワークに接続されているという時に、例えば1台ドローンを落として、何らかの方法で入手して、ファームウェアを解析して接続方法を入手すれば、ほかのドローンに手を出すことも可能になるかもしれません。

また、今回のデモではお見せしていませんが、クラウド側も今回のデモ環境でもし不備があり、こちらも侵入できると、今度はクラウド側からもドローンを攻撃することができる、つまり、私がここにいなくても、なんなら地球の裏側からでもドローンを落とすことが可能になります。

では、どうすればよかったのか？これが一番重要なポイントになります。

クラウドとドローンのところに鍵が2つ付いています。ドローン側でいうと、IP経由のコマンド送付の時に、本当に正しい人からのコマンドかどうか、認証認可をしっかりやって欲しいのです。

今の例でも、正規の運転士がドローンを上げるところまでやって、本来であれば第三者である私が先ほどはDisArmコマンド（モーターを緊急停止させる命令）をドローンに送りました。その際にドローンが、本当にプロポや正規のドライバーから送付されたコマンドか、あるいはこちらから送ったコマンドかをまったく区別せずに、すべて正規のコマンドだとして届いた順に実行してしまいます。そのために、私のDisArmコマンドもそのまま実行されて落ちた、という内容でした。

なので、ちゃんと認証認可、そしてポートや不必要な機能の制限、これはぜひ行っていただきたいと思います。まさしくパソコンと一緒です。

もう1つ、クラウド側です。今回、デバイス間の通信も通るようになってしまっていたという問題もありました。同じようにドローン間でできると、ドローンを落としてしまうことができるので、例えばクラウドの先にオペレーターがいるのであれば、ドローン－クラウド間は通ります、ドローン相互間は最低限の通信だけ通ります、などときちんと制限を掛けることで、きっちり設定をして守る必要があります。

今回、発見した脅威は以下のものです。

——————————
■ドローンに対する脅威
・遠隔からの攻撃（乗っ取り）
・アップデート機能の悪用
・遠隔制御機能の悪用
・入出力の脆弱性
——————————
■クラウドに対する脅威
・ドローンなりすまし
・入出力脆弱性
——————————

これ以外の問題も様々なドローンを解析すれば、ほかの問題もいろいろ出てくるだろうと考えています。

ここからはサービスの説明になってしまいますが、まず1つ、セキュアな開発プロセスです。皆様のドローンを診断したいという時に、テストの段階でご依頼する方がいらっしゃいますが、その前の実装や設計、ドローンをこういう形で作りたい、ドローンを使ってこういうことをしてみたいという時に、最初にご相談いただければ、「安全にその機能を実現するためにはこういうふうにしたらいいです」「例えば暗号であればこのように使うと安全です」、または「危険です」等々のアドバイスがきちんとできます。

また、後だと手戻りが発生してしまう。これも最初の方であれば手戻りなく、スムーズに開発ができることになります。

そういうことです。また、IoTデバイスセキュリティ診断サービス。こちらは、実物がある時に診断をご依頼いただければという形ですが、イメージとしては、例えば「OEM元で製作された実機が来て、うちでこれを売りたいが、果たしてこれは安全なのだろうか？」とチェックする時、もしくは「いま手元にある製品について他社様から問題が報告されてきた、少し不安だけど自分のところはどうなのだろう、チェックしてもらいたい」という時に、こちらのサービスを使っていただければと考えております。

サービス内容としては、以下の3つがあります。

——————————
①IoTペネトレーションテスト
私も通常時はエンジニアとしてやっていますが、実際にドローンをバラして中のケーブルを出したり、ファームウェアのコードをアセンブラレベルで読んで問題がないかをチェックしたりするものです。

②クラウド診断
先ほどのドローンでは、ドローンの管理基盤がクラウド側にありました。いくらドローンが安全でも、クラウド側、管理側が安全でなければ攻撃されてしまう。ならばクラウド側も守りましょう、というものです。

③スマホアプリ診断
スマホでドローンが操作できるという時に、そのスマホアプリから先ほどの2つについて侵害するような情報がないかどうか。スマホアプリを悪用することで先ほどの2つに対して何か影響が出てしまうと問題ですので、スマホアプリも診断しましょうというものです。
——————————

経済産業省が、中小企業の皆様を対象にIoT機器等に対する脆弱性診断を無料で行う事業を実施しています。日本国内に安心安全なデバイスをどんどん広げていきたいという趣旨で、私どもと同じような複数の診断会社の皆様と経済産業省とでタイアップして、無料で診断をします。