IoT洗車機が人を襲う日

江添 佳代子

August 17, 2017 08:00
by 江添 佳代子

毎年ラスベガスで開催される2大セキュリティイベント「Black Hat」と「DEF CON」では、今年も数多くの衝撃的なプレゼンが発表された。それらの中でも意外性に富んでいたものとして、「洗車機の制御を奪い、人を物理的に攻撃するハッキング」を紹介したい。

IoTの洗車機とは

2人のセキュリティ研究者、ビリー・リオス(Billy Rios)とジョナサン・バッツ(Jonathan Butts)は、「When IoT Attacks: Understanding the Safety Risks Associated with Connected Devices」と題されたプレゼンの中で、インターネット接続の洗車機に存在する脆弱性の問題を解説した。プレゼンテーションの資料のPDFはここでスライドのPDFはここで閲覧できる。

彼らが研究したPDQ Manufacturing社の「LaserWash 360(以下LaserWash)」は現在、米国で広く利用されているスマート洗車機だ。運転者がタッチパネルを操作してオプションを選べば、超音波センサーが車体の長さや幅や形を読み取り、巨大なアームが車体の周りを移動しながら高圧のスプレー洗浄を行う。つまり、水や洗剤やワックスを車体に吹き付けたり、それらを流したり乾かしたりする。もちろん運転者は車から降りる必要がない。

公式ウェブページによれば、このシステムは作業の早さやパワフルさ、運用コストの安さ、そして「スマートさ」を売りにしているようだ。LaserWashの実際の動作は、PDQがYouTubeに公開している動画で見ることができる。

なぜインターネットに接続するのか?

これまでにもTHE ZERO/ONEではIoT製品の脆弱性の話題を何度もお伝えしてきたが、中には「それをインターネットに接続してどうしようというのか?」という点から説明しなければならないものも多かった。例えばIoTのバイブレーター医療機器ヌイグルミなどだ。そして今回の「IoT洗車機」も、インターネットに接続する理由が分からないと感じた方は少なくないだろう。

PDQの公式ウェブサイト、およびオンラインで公開されているマニュアル(PDF)や公式動画の説明によれば、LaserWashはインターネットと接続することにより、「モダンで使いやすいブラウザーベースのインターフェイス」を利用した遠隔操作ができるようになる。LaserWash専用のソフトウェアを自分の環境にインストールする必要もないので、非常に手軽だ。

LaserWashのオーナーは、このインターフェイス経由で「すべての主要な操作の機能」に、そしてLaserWashが記録しているレポートにアクセスできるようになる。たとえ実機のそばにいなくとも、手元にウェブブラウザーを表示できる端末(※1)さえあれば、洗浄のパッケージ内容を変更したり、現在の稼働状況や売り上げを確認したりすることができる。また、何らかの理由で実機がダウンしたとき、あるいは重要なアップデートが必要となったとき、それを知らせるメールを自動送信することもできる。複数のロケーションに洗車機を設置しているオーナーにとっては、ありがたい機能なのかもしれない。

とはいえ「そんな機能はいらない、洗車機はシンプルに客の車を洗ってくれればいいのだ」と考えるオーナーもいる。LaserWashの「洗浄」の基本的な機能はオフラインでも制限されないので、全てのLaserWashがインターネットに接続されているわけではない。しかし2人の研究者がShodan(※2)で検索した結果、少なくとも150台以上のLaserWashがインターネットに接続されていることが確認された。
 
※1…ここで必要となるのは「インターネットとブラウザー」だけなので、セキュリティをまったく気にしないのであれば、友人のスマートフォンでも、あるいはネットカフェのPCでも遠隔操作できるということになるだろう。
※2…一般的なIoT製品からSCADAシステムまで、インターネットに接続されている「モノ」を探すことができる検索エンジン。セキュリティ研究者御用達。
https://www.shodan.io/

ハッキングされた洗車機はどうなってしまうのか

リオスとバッツは、このLaserWashの制御システムが古いバージョンのWindows CE(※3)で動作していることを確認した。すでにMicrosoftがセキュリティのアップデートを行っていない古いWindows CEの既知の脆弱性を利用すれば、悪意を持ったハッカーはLaserWashのシステム上で遠隔コードを実行できる。しかしLaserWashに対するハッキングは、もっと手軽に行う方法もある。

先述のとおりLaserWashのインターフェイスは「インターネットとブラウザーを使える端末が手元にあれば」どこからでもログインできる。ログイン時に要求されるのはユーザー名とパスワードのみだ。したがって、この2つの文字列さえ判明すれば、世界中の誰もがオーナーとして遠隔操作できる。

そしてLaserWashのアカウントにブルートフォース(総当たり)攻撃を仕掛けるのは、比較的容易だろう。洗車機のオーナーの多くは「自分の洗車機がハッキングされるかもしれない」などと考えないからだ。実際のところPDQは、ユーザーに複雑なパスワード設定を要求していない。それどころかリオスとバッツは、インターネットに接続された状態のLaserWashでデフォルトのパスワード(※4)が使えたケースを確認している。

2人の研究者は、このLaserWashを「人間に物理的な攻撃を仕掛ける機械」に変えるためのエクスプロイトのコードを書き上げた。そして彼らは、洗車機の開閉に使われるドアの安全センサーを迂回した手法をBlack Hatの聴衆に伝えた。それは「狙った車を装置内に閉じ込めることができる」だけでなく「ドアで車と乗客を攻撃できる」ということも意味している。このエクスプロイトは、攻撃対象となったLaserWashのIPアドレスを知ることさえできれば、あとはスクリプトを実行するだけで良い。
 
※3…バージョン6.0以降は「Windows Embedded CE」。
※4…ちなみにデフォルトのパスワードは「12345」だった。このニュースを伝えた英国ITメディア『The Register』の記事には、80年代のSFコメディ映画「スペースボール」の名シーン(惑星の出入り口のパスワードを脅迫して聞き出したら「12345」だった)を思い出し、呆れ果てた読者たちのコメントが寄せられている

IoTの機械が人間に殴りかかる

さらに彼らは、LaserWashの洗浄アーム(本来ならば、超音波が計測した「車体のサイズ」を元にして、車に沿うように液体を吹き出す設計になっている)を制御し、車を攻撃することもできると示唆した。もっと単純に表現するなら、「LaserWashの装置内に閉じ込められた車が、巨大なアームで物理的に破壊される」というドタバタSFコメディ映画のような展開が実現しかねない。あるいは、もしかするとスプラッター映画のような光景になるかもしれない。

「これは、インターネット接続のデバイスに人を攻撃させる初めてのエクスプロイトではないかと我々は考えている」とリオスは語った。この部分について、一部の人々は異議を唱えている。なぜなら、医療機器の制御を奪う、走行中の自動車を遠隔操作するといった「人命を奪いかねない危険なIoTのハッキング」は、これまでにも発表されてきたからだ。しかし、乗っ取られたデバイスそのものが「人体に直接的な暴力をふるう(殴りかかる)」ハッキングは、たしかに今回が初めてのケースかもしれない。

彼らのプレゼンの動画は、残念ながらオンラインで一般公開されていない。ただしリオスがツイッターに投稿した動画では「洗車機の入り口のドアが車を攻撃する様子」を見ることができる。

被害の大きさと「現実」の織りなす皮肉

実は、今回の彼らのプレゼンは「新しい発見のお披露目」ではない。この洗車機の脆弱性が悪用される危険性について、リオスがメーカーに初めて報告したのは2015年2月のことだったのだが、PDQは彼に回答しなかった。そのためリオスは2015年以降、この問題を公にも訴えてきたが(一例)、あいかわらず反応は得られない。やがてリオスとバッツは2017年、ついに「洗車機のIPアドレスを知るだけで遠隔攻撃ができるエクスプロイトの完全なコード」を作り上げた。それを見ても、なおメーカーは「実機で試したのか?」と彼らに尋ねた。

言うまでもないことだが、インフラの工場設備など「大掛かりな装置に搭載されているコントロールシステム」のハッキングは、そのメーカーが協力してくれないかぎりはデモ実演が困難となる。現実に稼働している大型装置とまったく同じ環境を再現し、それを攻撃するには莫大なコストがかかるからだ。電器屋で気軽に購入できるIoTの監視カメラのハッキング実験とは規模が異なるので、設備のメーカーや運用者の協力を得られない研究者は、その実証を諦めるしかないだろう。

洗車機にも同じことがいえる。たとえ研究者が「実行可能なエクスプロイトのスクリプト」を書きあげたとしても、そのコードを実行するための環境を整えることは不可能に近い。街でゲリラ的な実験を行えば重大な犯罪行為となる。たとえ裕福なスポンサーが現れて、金銭的な援助が得られたとしても、場合によっては二次災害を引き起こしたり、あるいは実験者の身体が危険に晒されたりといった可能性もあるだろう。今回の発表は、困難な状況の中で何度も冷たい仕打ちを受けた2人の研究者が、ようやく「学術的な研究のためなら」と一人の洗車機オーナーの協力を得たことによって部分的に実現できたものだった(※5)。そのため彼らのプレゼンも、「紆余曲折を乗り越えて実験を行うまで」の説明にかなりの時間が費やされている。

問題の洗車機は「85万ドル」で売られていた(今回使われたスライドより)

これは、なかなか厄介な問題だ。これまで多くのセキュリティ研究者たちが、様々な「モノのインターネット」の脆弱性を指摘してきたが、そのシステムの規模、およびエクスプロイトによって発生する被害の規模が大きくなればなるほどSF映画のような話になるので、あまり現実味のない発表だと感じられる傾向もあるだろう。さらに「エクスプロイトの実証はできない」ということになれば、それはますます机上の空論(あるいは天才の誇大妄想)に聞こえかねない。カンファレンスのステージで、見たこともない巨大な設備の産業用制御システムの脆弱性と、その攻撃がもたらす悲劇的な状況について説明されるよりは、IoTの電気ポットのハッキングを実演してくれるほうが、ずっと身近な問題だと感じやすい。

今回Black Hatで行われたリオスとバッツのプレゼンは、珍しく臨場感のある「大型設備のハッキング」の発表だった。よほどの頭脳と執着心、そして運がなければ、セキュリティ研究者はこのような発表を行うことができない。しかし「現実社会に大きな混乱をもたらしたい」と本気で考えている悪者たちが、研究者と同じ攻撃手法を見出した場合──あるいは、その攻撃スクリプトの売買が行われた場合──、それを街で実際に実行するのは決して難しいことではない。
 
※5…その協力者のおかげで、彼らは「洗車機のドア」に自前の車を攻撃させるハッキングを実演することができたのだが、「洗浄用のアーム」で実際に車体を攻撃させることはできなかった。やっと得られた協力者の洗車機を破壊するわけにはいかなかったからだ。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…