何百万もの英国人がスマートメーターハッキングの危険にさらされている

『Security Affairs』

March 9, 2018 08:00
by 『Security Affairs』

セキュアでないIoTデバイスは、ハッカーにとって格別の標的だ。残念ながらスマートメーターも、そのターゲットにはいっている。

英国の諜報機関「GCHQ」(政府通信本部)は、英国の2700万世帯に設置される予定となっている新しいスマートメーターに脆弱性を指摘した。

GCHQによれば、その脆弱性は、IoTデバイスを危殆化するハッカーたちに悪用され、ユーザーに深刻なリスクをもたらす可能性がある。

英国の一部のエネルギー供給企業(British Gas、E.on、Npower、Scottish Power、EDFなど)は2017年、スマートメーター「SMETS 2(SMETS 1の後継機)」のテストを開始した。

この新しいスマートメーターは、800万台の「SMETS1」に存在していた複数の課題に取り組んだモデルだ。

SMETS 2は、第一世代のSMETS 1の様々な課題(ユーザーとエネルギー企業の両方が直面していた問題)を解決した。このSMETS 2は、旧式のSMETS 1とは異なり、英国のエネルギー企業が遠隔操作でメーターの値を電子的に読み取って受信することができる。

また、このスマートメーターSMETS 2は様々なサプライヤーが相互運用できるようにも設計されているため、消費者はメーターを変えることなくエネルギーのプロバイダーを変更することができる。

しかし、『The Telegraph』の報道によれば、英国のGCHQは、この高性能なメーターの安全性に関する懸念を提起している。個人の詳細情報を盗むために、また請求書を改ざんして金銭を騙し取るために、攻撃者がハッキングするという懸念だ。

「メーターが普遍的なものになれば、それはハッカーたちにとってますます魅力的になるだろうとサイバーセキュリティの専門家たちは語っている。同じソフトウェアを利用して全てのメーターをハッキングできれば、潜在的な見返りが非常に大きくなるからだ」とThe Telegraphは報じている。

「サイバー犯罪者たちはメーターが記録する値を作為的に増やして、請求額を引き上げることができる」

「そののちに、彼らは利用料金の横取りを試みる。彼らが『実際の請求額』と『嘘の請求額』の差額のみを横奪すれば、エネルギー企業は『請求した金額が問題なく支払われた』と思うだろう」

さらにGCHQは、攻撃者たちが顧客のネットワークに侵入する目的で、そのデバイスを「トロイの木馬」として利用する可能性についても警告した。

また英国政府も、他国の国家に支援されているハッカーたちが、このスマートメーターの欠陥を悪用してNational Grid(英国の高圧送電線網)に損害を与えるような電力サージを作り出す可能性を懸念している。

セキュリティ専門家たちもBlueBorne(Bluetoothの脆弱性)への攻撃について警告している。その攻撃は、Bluetooth接続を悪用してスマートメーターをハッキングする可能性がある。

政府が出資している「Smart Energy GB」(スマートメーターの運用を進めている機関)のRobert Cheesewrightは、そのデバイスが金融データを直接的に管理しているのではないと説明し、危険性を控えめに扱おうとしている。しかしどうやら、その説明は「他の攻撃のシナリオ」について考慮していない。

「スマートメーターは、皆さんの家庭にあるテクノロジーの中で最も危険性が低く、最も安心できるもののひとつだ」とRobert Cheesewrightは語った。

「メーターに格納されるのはエネルギーのデータだけで、それは暗号化されている。あなたの氏名、住所、銀行口座、あるいは他の金融的な詳細情報はメーターに格納されない」

脆弱なスマートメーターに関するリスクの分析は、過去にも行われてきた。セキュリティ研究者のJavier Vazquez Vidal とAlberto Garcia Illeraは2014年、スペインでネットワークに接続されている数百万台の電気メーターが、適切なセキュリティ管理を欠いているためにサイバー攻撃の影響を受けやすいということを指摘していた
 
翻訳:編集部
原文:GCHQ fears energy smart meters could expose millions of Bretons to hack
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

英国において、スマートメーター普及におけるセキュリティの問題をGCHQが指摘しているという記事だ。

スマートメーターをオンラインで検針が行え、ユーザーも電気の見える化などができる。しかし、インターネットを使って情報をやりとりするため、サイバー攻撃のターゲットとなり、情報漏えいやデータ改竄などのリスクも指摘されている。

日本では、経済産業省の資源エネルギー庁が「電力・ガス分野におけるサイバーセキュリティ対策」という資料を2017年7月に公開しており、電力・ガスを狙ったサイバー攻撃とリスクとその対処を国がどのようにするかよくわかる。

この資料にもスマートメーターに関する対策も書かれているが、大枠の部分しか書かれておらず、詳しい情報や対策が書かれていないのは残念だ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…