スマートシティの脆弱性調査

2018年9月10日

セキュリティ業界のカンファレンスに参加するとき、いつもしているちょっとした遊びがあります。バズワードを当てるゲームです。行く先々のブース、講演、ミーティングで聞かれる単語やフレーズは何か?いつも、答えはすぐに分かります。Black Hat USA 2018のバズワードは、思ったとおり「スマートシティ」でした。

スマートシティという言葉自体は目新しいものではなく、誰もが支持できそうなコンセプトに思えます。洪水の防止、交通渋滞の緩和、ごみ収集の自動化などをテクノロジーの活用によって実現し、住民生活の向上を図る都市。素晴らしいではないですか。

しかし、気になる点があります。スマートシティのテクノロジーを成り立たせるスマートデバイスやスマートシステムは、インターネットに接続します。そうしたデバイスやシステムは、現実の問題につながるおそれのある脆弱性を複数抱えています。

IoTやものまねレベルのメーカーのセキュリティ不備は、せいぜいよその家のベビーシッター監視カメラを盗み見たり、空調の温度を勝手に変更したりする程度のものとして片付けられることが多いのが現状です。しかし、ダムの水位を調節するデバイスや、道路の冠水(あるいは発電所付近の放射線レベル)に関する警報を地域住民へ出すデバイスのことを考えれば、深刻な非常事態につながりかねない話であることが分かるでしょう。

Black Hat USA 2018の2日目に、ThreatcareとIBM X-Force Redのリサーチャーが 両チームの共同研究についての講演(英語記事)を行い、4つのスマートシティ技術の中で見つかったゼロデイ攻撃の脅威について解説しました。

共同研究チームは、IoT検索エンジンのShodanCensysを使用して、スマートデバイスが米国、欧州、その他の地域の都市で広く利用されていることを知りました。合計で17件の脆弱性を発見し、そのうち半数以上が深刻な脆弱性といえるものでした。

その研究では、ほかにも恐ろしい事実が判明しました。たとえば脆弱性のあるデバイスが、欧州のある国で放射線の検知に使用されていることや、米国のある地域で車両の運行管理に使用されていることなどです(該当の当局や機関には同チームから注意を促しました)。

そうした脆弱性は実のところ、特に複雑な種類のものではありませんでした。同チームはそうした脆弱性を短時間で発見することができたとし、ほとんどはベンダーが基本的な対策を講じれば解消できる種類のものだと述べています。

もうおわかりだと思いますが、こうした脆弱性による脅威は紛れもない現実です。なお、ベンダーは同チームに対して協力的で、脆弱性のパッチをリリースしたとのことです。ただ、該当の自治体が適時にパッチを適用したかどうかは分かりません。

起こりうる最悪のシナリオをイメージしやすくしようと、同チームは研究で評価対象としたデバイスの1つを元にダムの模型を作成し、実験を試みました。ダムの水位調節には、スマートセンサーを使用してあります。ダムに対する攻撃は1分もかかりませんでした。ダムからは水が放水され、下流にある川は氾濫して両岸の道路が冠水しました。

しつこいようですが、実験に使われたのは無作為に選ばれたIoTデバイスではありません。現実の都市で現実に使用されている機器です。そうしたデバイスが、政府や自治体の日常業務に欠かせないものになっているのです。セキュリティリサーチャーが最小限の手間で脆弱性を発見できるならば、サイバー犯罪者が同じことをするのは時間の問題です。あるいは、もっと厄介なものを見つけ出すかもしれません。

一般の人々なら心配しすぎだと笑い飛ばすこともできますが、自治体としてはこうしたサイバーセキュリティリサーチャーの助言に耳を傾けるのが賢明でしょう。スマートシティは、今後3年間で1,350億ドルの規模(英語サイト)に成長すると見込まれている好況産業です。そして、スマートシティのデバイスは、ピザを注文してくれたり洗剤を2日以内に買い足してくれたりするデバイスよりも、はるかに大切なものを守っています。都市にとって何より大切なもの、つまり住民を守っているのです。