Wi-Fi経由で街中の道路信号システムが乗っ取られてしまう危険性が発覚

By BristolRE2007

コンピューター同士がネットワークでつながれるインターネット社会においては機内Wi-Fiを通じて飛行機をハッキングできる可能性が存在したり、TVの電波をハッキングしてスマートTVにアタックを仕掛ける「レッドボタン攻撃」の危険性などのセキュリティリスクが必然的に高まるわけですが、アメリカではWi-Fi経由で道路の信号システムをハッキングして街じゅうの信号を自由に操れる危険性が存在していることが明らかになりました。

Researchers find it’s terrifyingly easy to hack traffic lights | Ars Technica
http://arstechnica.com/security/2014/08/researchers-find-its-terrifyingly-easy-to-hack-traffic-lights/

(PDFファイル：2.7MB)traffic-woot14.pdf
https://jhalderm.com/pub/papers/traffic-woot14.pdf

「信号を乗っ取って自由に操作し、車に乗って逃走する犯人をグルになって手助けする」というギャング映画のような光景が現実となる危険性が明らかになったのはアメリカ・ミシガン州に存在している街ですが、セキュリティ上の理由のためか詳細は明らかにされていません。

調査チームが公表した報告書(PDF：2.7MB)では、ある街で用いられている信号システムのセキュリティは非常に弱く、いとも簡単に、しかも短時間でシステムを乗っ取ってしまうことが可能であることが明らかにされています。仮にこれが実行されると、街じゅうにめぐらされた100基以上の信号を思い通りにコントロールしたり使い物にならない状態に陥らせることが可能になるうえに、その方法は普通のノートPCなどにも搭載されているWi-Fiを使うことでも実現が可能という驚くべきものでした。

◆実際に運用されている信号システムの構造
検証にあたっては、ミシガン州当局の協力の下、ある街に実在する信号システムが用いられました。その信号システムの構造はツリー構造トポロジーとなっており、制御センターから発せられた信号はまず1台目の信号機へと入力され、そこから枝分かれ的に接続されるネットワーク全体へと信号が行き渡る仕組みになっています。各機器(ノード)間の通信にはIPプロトコルが用いられており、全てのノードが単一のサブネットワーク上に配置されています。なお、この仕組みは他のエリアでも一般的に用いられていることが多いとのこと。

そして、敷設面でのコストを考慮した結果、各ノードの通信には電波を使ったワイヤレス通信が用いられているのですが、これが問題の核心の一つとなってきます。

◆ワイヤレス通信のセキュリティの低さ
各ノード間の通信には5.8GHz帯と900MHz帯の2種類の電波が用いられており、周辺環境の違いに応じて最適なものを選択して使用されています。直線見通しのよい環境では直進性の強い5.8GHz帯が使われ、建物の影に隠れているようなノードの場合は900MHz帯の電波が用いられているのですが、900MHz帯の通信には周波数ホッピング方式を用いたプロプライエタリなプロトコルを用いて秘匿性を高めているのに対し、5.8GHz帯で用いられているプロトコルは、一般の家庭でも用いられているWi-Fi規格の802.11nとほぼ同一であることがわかったのです。

By Miguel Ángel

事実、調査チームはごく一般的なノートPCとスマートフォンを使って各信号機のSSIDを読み取ることに成功しています。システムのネットワーク自体に入ることはプロトコルが異なるためにできなかったのですが、その気になればリバースエンジニアリングの手法でプロトコルの解析を行うことも可能だったとのこと。ただし検証の際には不正アクセスのそしりを逃れるため、調査チームは実際の信号システムに用いられているものと同一で、一般では入手できない送受信機を介してシステムに接続することにしたそうです。

この手法でトライしてみたところ、ネットワークへの接続に成功。そしてなんと5.8GHz帯の通信にはパスワードや暗号化は行われていないことが判明し、上記の送受信機さえ持っていればたやすくネットワークに進入できることが明らかになりました。

◆システムの乗っ取り
接続が通ったら、次は各信号を制御しているコントロールボックスとの通信にトライ。そしてこの試みも簡単にクリアすることになります。コントロールボックスでは組み込み系OSのVxWorksバージョン5.5が走っていたのですが、このバージョンはテスト用のデバッグ用のポートを備えたソースコードから開発されたものでした。調査チームはこのポートが開いていることをすぐに突き止めることに成功。すると装備されたメモリの中身を触ったりデバイスそのものを再起動することさえ可能になったとのことでした。

そしてもちろん次は、各信号装置や信号カメラシステムとの通信の様子を調査。こちらもすぐに詳細を突き止めることができたのですが、その中身は難読化されておらず、容易に内容を把握して乗っ取りが可能な状態になっていたとのこと。その実情について調査チームは「ネットワークに流れるパケットを解析したところ、通信は暗号化されていないため認証の必要がなく、容易に別のものと置き換えることが可能な状態でした。各命令はパケットの最後のバイトが異なるだけであったため、攻撃の意図を持った人物であれば容易に解読できてしまうものでした」と語り、実際に信号機の操作に成功したことを報告書の中で明らかにしています。

1台でも「乗っ取り」に成功したということは、同じ仕組みで動く全てのデバイスを操作できるということにつながります。もしこれが悪用されると、街じゅう全ての信号を青にして交通を大混乱させたり、逆に全て赤信号にして大渋滞を発生させることが可能に。そしてもちろん、ギャング映画のように逃走する自動車に合わせて信号を操作し、追っ手の行く手を阻むように交通を操ってしまうことも可能にしてしまいます。

◆問題解決の対処方法と、本当の問題点とは
報告書では上記の状況を踏まえた上で、問題を解決できる対処方法が提示されています。まずは無線通信のセキュリティを高める方法として5.8GHz帯の通信が対応しているWPA2暗号化の実施を提唱。900MHz帯は一般的なノートPCやスマートフォンが対応していないためにセキュリティ度は高いとしながらも、WEPもしくはWPAによる暗号化が必要であるとしています。そしてさらにセキュリティの多重化を提唱。システムに用いられるIPネットワークにファイアウォールを導入して厳重化などを進めるよう求めています。

交通の安全を守る信号システムがこのような脆弱性を抱えながら動いているという実に驚くべき事実が明らかになったわけであり、調査チームはシステムを管理する行政やシステムを実際に構築したベンダーに対して早急な対応を求めています。しかし、報告書ではベンダーが寄せてきた回答で「業界標準の仕様に従ったものであり、セキュリティの観点を含めていないのは標準そのものです」という一言を一例に挙げ、各レベルでの責任感の低さやセキュリティ意識の低さが最大の問題点であるとしています。

By Ethan Prater