ラックは12月4日、船舶がターゲットとなっているサイバー攻撃に関する勉強会を開催した。同社は今年7月、広島商船高専が実運航する船舶で有事の対応を体験するサイバー攻撃防御演習を行い、今回、その内容が紹介された。

船舶を狙ったサイバー攻撃では、運航だけではなく、あらゆるジオロケーション情報を扱うシステムにおいても脅威とされています。ロシア・ウクライナ紛争では、衛星測位システムであるGPSを持ち千絵攻撃を行っている報じられているが、他の戦争や紛争においても同様のことが行われているという。

船舶を狙うサイバー攻撃に対し、どんな対策を講じることができるのだろうか。本稿では、勉強会で紹介された船舶に対するサイバー攻撃の脅威、舶のGPS・AIS(船舶自動識別装置)システムに対する攻撃などについて、紹介する。

現在の船舶におけるサイバーセキュリティの脅威

初めに、コンサルティングサービス第三部 竹内正典氏が、船舶に対するサイバー攻撃の脅威について説明した。同氏は、海運分野のサイバー攻撃は現在、先日報じられた名古屋港のように、陸上の攻撃が多く、船の運航に支障を来すインシデントはまだ起きていないと述べた。

  • ラック コンサルティングサービス第三部 竹内正典氏

なぜなら、運航に関わるネットワーク(OTネットワーク)は現在、ITネットワークと分離されているうえ、OTネットワークはほぼシリアル通信であることから、インターネットに接続していないからだという。

そのため、現時点で船舶システムにおいて想定されるインシデントとしては、ECDIS(電子海図表示装置・エクディス)へ入力されるGPSとAISに対するスプーフィング、USBなどの記録媒体を介したマルウェア感染、ファイアウォールの設定不備を突いた攻撃がある。

「船舶への搭載が義務付けられているECDISのアップデートはUSBで行うため、そのUSBがマルウェアに感染する可能性がある。また、内航船にはネットワーク機器が導入されているが、セグメンテーションあまりされていないと聞いている」(竹内氏)

GPS・AISシステムを狙う攻撃手法とは

船舶のGPS・AISシステムに対する攻撃手法については、デジタルペンテスト部 今井志有人氏が説明した。具体的には、電波を用いた攻撃とマルウェアを用いた船舶内部からの攻撃の2つの手法があるという。

  • ラック デジタルペンテスト部 今井志有人氏

ECDISは、測位情報(GPS)や他船情報(AIS)を重畳表示できる。新しい船では、GPSやAISのNMEAデータはLAN経由でECDISにマッピングされる。電波を悪用する場合、標的に近づいて偽の電波を発信するだけで攻撃が成立するという。今井氏によると、簡単かつ準備がいらないため、すでにこの手法による攻撃はすでに起こっているとのことだ。

一方、マルウェアを用いる攻撃は、標的の近くにいる必要がないため、匿名性が高い。ECDISとマルウェア感染したマシンがネットワークでつながっている必要があり、将来用いられる可能性がある攻撃手法となる。

GPSを狙う攻撃

GPSを狙う攻撃としては、船舶の位置をわからなくする「GPSジャミング」、船舶の位置を偽装する「GPSスプーフィング」の2種類が紹介された。

GPSジャミングはウクライナ紛争において、また、GPSスプーフィングは黒海上の船舶に対する攻撃において行われたことが確認されている。ロシアはジャミングによって、米国製の高機動ロケット砲システム「HIMARS」においてGPSによる誘導を狂わせ、ロケット弾の目標命中を阻止していると報じられた。

  • GPSスプーフィングのデモの様子

AISを狙う攻撃

GPSと同様、AISを狙う攻撃手法として、ジャミングとスプーフィングが紹介された。なお、ジャミングは他船とやり取りできなくなるだけなので、あまり脅威と見なされないとのことだ。

なお、今井氏は「今のところ船舶に対する被害の事例はあまり見られないが、自律運航が始まると、状況が変わるのではないかと思っている」と述べた。

今井氏は、電波を用いたなりすます攻撃の対策について、システム面と運用面の2つの側面から説明した。

システム面において、インフラ側と受信機メーカーにできることとしては、GPS・AIS信号にデジタル署名などのなりすまし対策がある。舶用機器メーカーにできることとしては、測位・船舶の認識をGPS・AISのみに頼らないことがある。

また、運用面での対策としては、ECDISに頼りすぎないこと、レーダー・カメラ・目視で多角的に判断することがある。

IoTの利活用が進む船舶のサイバーセキュリティの未来

現在はデジタル化が進んでいないこともあり、船舶を狙う大規模なサイバー攻撃は発生していないが、IoTの利活用が進んでいることから、竹内氏は「今後は、サイバー攻撃によって船舶の制御を乗っ取られる可能性もある」と指摘した。

自動車のように、船舶においてクラウドやソフトウェアが利用されるようになり、将来は自動運航が行われることも考えられる。

船舶のデジタル化によって、攻撃対象領域も大幅に広がり、攻撃シナリオも増えることになる。

  • IoTの利活用が進んだ船舶システムと攻撃シナリオ

竹内氏は、経済安全保障の観点から、セキュリティ対策が必要であり、そのために各国のセキュリティ動向を押さえておくことが重要だと述べた。

そして、竹内氏は船舶は20年以上使うことから、ライフサイクルを考慮した対策を講じるべきだと語った。IoT機器と同様に、システムを設計・構築する段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」という考え方を取り入れるべきだという。

加えて、さらに、技術・人・プロセスの3つの観点から、対策を進めることがポイントとなるという。竹内氏は「個人的には、セキュリティ人材の育成が最も大事と考えている。検証できる環境を用意し、底上げを図る必要がある」と語っていた。

  • 技術・人・プロセスの3つの観点から進めるべき船舶のセキュリティ対策