ドローンに関する製品・サービス・システムの展示会「Japan Drone 2022」が6月21日~23日の期間、幕張メッセにて開催されている。今回で7回目となる同展示会では「社会の課題解決に向けて」というテーマで、運搬・輸送ドローンや点検・測量ドローン、水中ドローンや空飛ぶクルマなど、さまざまなドローンが展示されている。

  • 「Japan Drone 2022」(幕張メッセ)の様子

    「Japan Drone 2022」(幕張メッセ)の様子

各企業がドローン製品を展示している中、GMOインターネットグループ(GMOインターネット)は、ホワイトハッカーによる診断と暗号化通信・認証技術でドローンのセキュリティを担保するサービスを紹介。ホワイトハッカーによるドローンへのサイバー攻撃の手法デモを公開していた。

  • GMOインターネットグループはホワイトハッカーによるドローンへのサイバー攻撃の手法デモを公開していた

    GMOインターネットグループはホワイトハッカーによるドローンへのサイバー攻撃の手法デモを公開していた

複雑化するドローンのセキュリティリスク

近年、物流や農業、点検、防犯など、さまざまな業界でドローンの利活用が進んでいる。インプレス総合研究所によると、国内のドローンビジネス市場規模の年間平均成長率は22.8%と予測されている。

一方で、ドローンの普及に伴いセキュリティリスクも増加している。ドローンの高度化・自動化が進むことで、サイバー空間とフィジカル空間が融合し、セキュリティ上のリスクが複雑化しているのだ。ドローンによる事故・攻撃も増加傾向にあり、IPAによると、2019年11月にドローンの侵入により関西空港が一部閉鎖する事態となり、サウジアラビアでは2021年3月、石油産業拠点へのドローン攻撃が確認されている。

ドローンに対するサイバー攻撃リスクは、「データ漏えい」と「不正操作」の2つが考えられるという。データ漏えいに関しては、搭載しているカメラ映像、クラウドやインターネットへの接続情報、過去のフライト情報やGPS履歴情報などの窃取が考えられる。

不正操作に関しては、ネットワーク経由でのFC(ファイバーチャネル)に対する不正操作命令の実行や、ファームウェアアップデート機能を用いた悪意あるファームウェアへの書き換え、メンテナンス用のクラウド基盤を経由した各種攻撃の実行などが想定される。

ドローンへのサイバー攻撃の手口

「Japan Drone 2022」にてGMOインターネットが実施したデモでは、ホワイトハッカーが不正な制御信号を送信し、情報を窃取する様子を紹介した。具体的には、まずドローンの接続されているWi-Fiに接続。次にWi-Fi内でネットワークスキャンを実施し、攻撃対象のドローンのIPアドレスを特定した。そして、動作を急停止するように指示する攻撃コードを実行した。

  • 動作を急停止するように指示されるドローン

    動作を急停止するように指示されるドローン

  • 今回の攻撃の流れ

    今回の攻撃の流れ

  • 動作を急停止するように指示する攻撃コード

    動作を急停止するように指示する攻撃コードを入力すると……

すると、Disarm処理がドローン側で実行され、正規の操作者の意図にかかわらず動作が停止し、落下した。もし空高く飛んでいたドローンだとしたらかなり危険だ。

  • ドローンは急停止し落下した

    ドローンは急停止し落下した

今回のデモでは公開されなかったが、同一ネットワーク上のすべてのドローンに一斉攻撃することも可能で、Wi-Fiではなくクラウド経由での侵入もできるという。ドローン本体に対しては、遠隔からの攻撃やアップデート機能の悪用などの脅威、入出力の脆弱性が確認された。

【動画】ホワイトハッカーによるドローンへのサイバー攻撃

では、どうすればこうしたサイバー攻撃を防げるのだろうか。

答えは「通信を暗号化」と「機体の認証」をすることだ。ドローンとサーバ間で発生する通信を暗号化し、送信データの盗聴や改ざんなどの対策を行うことで、ドローンから送られる情報が守れる。また、ドローンから制御システムなどへアクセスする際、電子証明書を使用している機器の認証を行うことで、なりすましによる不正アクセスを防止できる。

今回のデモの場合、ネットワークに対してはデバイス間の通信に制約を持たせ、不必要な機能を制限する必要があった。またドローンに対しても、IP経由でのコマンド送付に対する認証・許可の実施を行い、認証鍵を付けパスワードの使いまわしを禁止にする。このような対応をとることで、今回のようなサイバー攻撃は防げただろう。

  • サイバー攻撃の防止策

    サイバー攻撃の防止策

GMOインターネットでは、ホワイトハッカーによるドローンの診断サービスを提供している。「ハードウェア解析」「インターフェーステスト」「ソフトウェア解析」の3つのテストでドローンのセキュリティを評価。またクラウドのコンソール経由での設定レビューやアプリケーションの動作の解析などを組み合わせた診断も実施可能だ。

同社のホワイトハッカーは120名在籍しており、これまでに6000件を超える案件を担当してきている。侵入テストの成功率は約90%でハッキングコンテストで世界1位に輝いたこともあるとのこと。

さらに同社はサーバ側の「SSLサーバ証明書」、ドローン本体側の「クライアント証明書」の2つの電子証明書を提供しており、通信の暗号化と機体の認証も実現できるという。

6月20日からドローンやRC飛行機などの無人航空機の登録義務化と、改正航空法の施行が開始した。100g以上の重さの機体の場合、所有者情報の登録と許可無しでの飛行は禁止となる。これまで200g未満の機体は航空法の規制対象外だったが、100g以上に引き下げられた。登録していない機体の飛行は禁止され、違反した場合は、1年以下の懲役、または50万円以下の罰金が科される。

また、2022年12月頃にも、都市部を含む第三者上空の補助者なし・目視外飛行、いわゆる「レベル4」が解禁される予定だ。ドローンを取り巻く状況が刻々と変化する中、セキュリティの観点からもドローンを見つめ直した方がいいかもしれない。