Security

「人工衛星のセキュリティは不十分」──民間の宇宙開発が進むなかでの懸念点が浮き彫りに

ドイツの研究者が人工衛星のファームウェアを調査したところ、重大なセキュリティ脆弱性を発見した。調査は研究目的の衛星を対象としたものだったが、衛星の広範なセキュリティ問題を示すことになった。民間企業が宇宙に進出するなかで、宇宙セキュリティの規格づくりが急務となっている。
The ESTCube2 small satellite floating above Earth in space
小型衛星ESTCube-2。ドイツの研究者たちは、ESTCube-2の前身である「ESTCube-1」を含む3つの衛星のセキュリティを分析した。Photograph: Eesti Tudengisatelliidi Sihtasutus

世界が滞りなく回るように、地球の何百キロメートル上空を数千の衛星が地球を周回している。タイミングシステムやGPS、通信技術はすべて衛星のおかげで動いているのだ。しかし、衛星をサイバー攻撃から守るにはより多くの対策が必要だと、セキュリティ研究者たちは長年にわたり警告してきた。

ドイツの研究グループが今年発表した新たな調査結果は、現在地球を周回している衛星のセキュリティの脆弱性の一部を垣間見せている。ルール大学ボーフムとドイツの研究機関であるCISPA Helmholtz Center for Information Securityの研究者たちは、3つの小型衛星が使用するソフトウェアを調査したところ、そのシステムには基本的なセキュリティ対策が欠如していることを発見した。

論文によると、研究者たちが調査した衛星のファームウェアには「シンプルな」脆弱性があり、「過去10年間におけるセキュリティ研究の大部分は、まだ宇宙領域には浸透していない」ことが示された。なかでも重要な問題は、衛星システムと通信できる人物を制限する仕組みが欠落していることと、暗号化が導入されていないことだ。今回見つかった種類の問題は、理論的には攻撃者が衛星を制御し、ほかの物体に衝突させることができるものだと研究者たちは説明している。

今は「隠ぺいによるセキュリティ」が主流

現在使用されている衛星は多岐にわたり、サイズや用途もさまざまだ。民間企業が製造した衛星は地球を撮影したり、航行データを提供したりするのに使われている。軍事衛星は秘密裏に運用され、スパイ活動に使用されることが多い。宇宙機関や大学が運用する研究用の衛星もある。

現在の衛星のセキュリティは「隠ぺいによるセキュリティ(security by obscurity)」に分類できると、ルール大学ボーフムの博士課程の学生で、今回のセキュリティに関する調査を主導した研究者のヨハネス・ウィルボルドは話す。つまり、衛星がどれほど保護されているかについてはあまり知られていないということだ。

研究チームは宇宙に衛星をもつ複数の組織に連絡をとり、ファームウェアを調査してもいいかと尋ねたが、ほとんどの組織からは拒否されるか返答をもらえなかったとウィルボルドは話す。研究に協力してくれた3つの組織のオープンな姿勢を、ウィルボルドは賞賛している。

研究はチームが調査した3つの衛星は研究目的で低地球軌道を周回し、基本的には大学が運用しているものだ。2013年に打ち上げられたエストニアの立方体型の衛星「ESTCube-1」、オープンソースの原則に基づき研究者たちが利用できる欧州宇宙機関(ESA)衛星「OPS-SAT」、そしてシュツットガルト大学とエアバスが制作した「Flying Laptop(空飛ぶノートPC)」として知られる小型衛星のファームウェアを調査した。

調査結果によると、3つの衛星で6種類、計13個のセキュリティ脆弱性が見つかった。これらの脆弱性には「保護されていない遠隔操作用のインターフェース」にかかわるものも含まれていた。つまり、地上にいる運用者が軌道上の衛星と通信するために使用する仕組みに脆弱性が見つかったということだ。

「そもそもアクセスに対するセキュリティ対策が抜けていることが多いのです」とウィルボルドは説明する。基本的に何もチェックされていないのです」。8月に開催されたセキュリティカンファレンス「Black Hat」でも、ウィルボルドは今回の調査結果を発表した

Most Popular

衛星のソフトウェアの脆弱性だけでなく、複数の衛星で使用されていると思われるコードのライブラリにも問題があったとウィルボルドは話す。論文では、小型衛星の製造業者であるGomSpaceが開発したソフトウェアにあったスタックベースのバッファオーバーフローの脆弱性について詳しく説明している。問題の原因は、最後に更新されたのが2014年のライブラリにあると指摘している。問題を報告すると、GomSpaceは調査内容を認めたとウィルボルドは話す。GomSpaceに問い合わせたが、回答は得られなかった。

セキュリティの優先順位と今後の対応

研究者が調査した衛星の制作者たちは『WIRED』に対して、ファームウェアを研究者たちに提供したことは有益であり、今後の宇宙船開発に向けて調査結果を活用すると語っている。ESAのミッションオペレーション部門の責任者であるサイモン・プラムは、「OPS-SAT」は“宇宙の実験室”のような役割であるため、ほかのミッションとは異なる水準のセキュリティ対策を施していると話す。

とはいえ、ESAは調査結果を確認しており、すでに少なくとも1カ所所は衛星に修正を施したとプラムは語る。「宇宙システムをサイバー脅威から守り、宇宙サイバーセキュリティの分野における耐性の共通認識と文化を発展させたいと考えています」とプラムは話す。

この調査結果は「重要であり、多くの問題に関連している」とエストニアのタルトゥ大学の准教授で、「ESTCube」のプロジェクトに携わるアンドリス・スラヴィンスキスは話す。また、「ESTCube-1」のシステムは「キューブサットの“開拓時代”に開発され、打ち上げられた」ものだと説明する。衛星の2番目のバージョンである「ESTCube-2」は今年打ち上げる見通しだ。

一方で、研究者が見つけた「弱点」は、衛星の機能とアクセスのトレードオフの結果であると、「Flying Laptop」の一部を開発したシュツットガルト大学の衛星技術の教授であるサビーヌ・クリンクナーは話す。

「脅威モデリングの結果、学術衛星を攻撃するインセンティブの低さと、接続を確立して衛星に有効な命令を送るという、まだそれほど簡単には実現できない課題とを比較した上で開発しています。多くの大学の衛星と同じだと思います」とクリンクナーは話す。そして衛星への悪意のある接続は見つかっていないと付け加える。ただし、今後のミッションでは脅威に対抗するためのサイバーセキュリティ対策を強化すると話している。

ソフトウェア開発者が関与していない

今回の衛星のセキュリティ調査は主に研究用及び学術用の衛星を対象としたものだが、その調査結果は専門家たちが何年も前から懸念していた衛星周りの広範なセキュリティ問題を浮き彫りするものでもある。

研究者が衛星のファームウェアを調査して研究結果を公開できたケースは稀だと、宇宙におけるサイバーセキュリティの研究をしているコーネル大学の助教授であるグレゴリー・ファルコは語る。ドイツのチームが公表したような調査結果で、公的に利用できるものは「ほとんどない」という。

宇宙システムに対する懸念は新しいものではない。宇宙システムを攻撃から守り、衛星の製造方法を改善するために、もっと手を尽くすべきだと研究者たちは以前から警告している。

宇宙で使うファームウェアとソフトウェアの開発は、2つの理由から“悪夢”だとファルコは語る。1つは開発では旧来のソフトウェアが使用され、ほとんど更新されていないのだ。そして「もう1つは、宇宙システムはソフトウェア開発者ではなく、大部分は航空宇宙エンジニアによって開発されていることに起因します」とファルコは話す。

Most Popular

今回、ドイツの研究者たちは、システムのセキュリティレベルについて19人の衛星業界の専門家に聞き取り調査も実施している。論文によると、調査対象者の1人は「安全性ではなく、機能するシステムを提供することに焦点を当てています」と話していた。

防衛領域のシンクタンクである英国王立防衛安全保障研究所の宇宙セキュリティに関する研究アナリスト兼政策の担当者であるジュリアナ・スースは、ソフトウェアやファームウェアの脆弱性を突くこと以外で、衛星システムを攻撃する方法はいくつかあると説明する。これにはジャミングやスプーフィング(なりすまし)が含まれ、どちらも衛星が送受信する信号を妨害するものだ。

「こうした攻撃を実行するのに、宇宙開発の強国である必要はありません」とスースは語る。許可を得たセキュリティ研究者たちは昨年、役目を終えた衛星を不正なテレビ信号の放送に使えることを実演している。また、2007年10月と2008年7月には、米国の2つの衛星を妨害したとして中国のハッカーたちが批判された

ロシアが昨年ウクライナへの全面的な侵攻を開始した時期に起きた、衛星システム「Viasat」に対するサイバー攻撃は、宇宙産業にさらなる警鐘を鳴らしたとスースは考えている。2022年2月24日の早朝、ロシア軍が初めてウクライナの土地に足を踏み入れたとき、サイバー攻撃によって衛星インターネットシステムの数千のモデムの接続が途切れた。

この攻撃によりドイツの風力発電所を含め、世界中でインターネット接続が切断されたのである。欧州、英国および米国はこの攻撃をロシアによるものとしており、米国家安全保障局が衛星のセキュリティについて発信するきっかけとなった。

民間企業にもガイダンスが必要

宇宙サイバーセキュリティの問題について専門家らが警鐘を鳴らし続ける間も、民間の宇宙業界は盛り上がりを見せている。スペースXをはじめとする企業は、インターネット接続を提供するために数千の衛星を軌道に送り込む競争を繰り広げている。また、衛星で宇宙から地球を撮影するコストも下がった。大手企業と並んで、宇宙船に組み込む部品やパーツを製造する小さな企業も多数登場している。

こうしたサプライチェーンはさらなるセキュリティリスクをもたらすことが予想されている。「こうした企業はセキュリティを優先していません」とファルコは指摘する。「セキュリティについて詳しい社員もいないかもしれません」


今年6月、工業分野の規格標準化に取り組むIEEE Standards Associationは、ファルコが率いる新たな取り組みを発表した。それは、宇宙産業全体に、サイバーセキュリティに関する共通の実践のあり方や要件を浸透させることを目的とするものだ。「商業主導の宇宙システムの開発に多額の資金が投入されていることから、民間企業に何らかのガイダンスを提供する必要があります」とファルコは話している。

WIRED US/Translation by Nozomi Okuma)

※『WIRED』による人工衛星の関連記事はこちら

Related Articles
Illustration showing NASA's Psyche spacecraft, pixelated images of earth from space, a grainy star texture, and purple lines (laser concept) shooting into space
宇宙とレーザー光による高速通信を実現へ。打ち上げに成功した探査機「サイキ」が担うミッションの重要度
NASAが打ち上げに成功した探査機「サイキ」は、大部分が金属でできた小惑星プシケに迫る前に重大なミッションを担っている。それは、何億キロメートルも離れた地球との間でレーザーによる高速データ通信を実現するという実験だ。
starship turning over
スペースXの「スターシップ」は打ち上げ後に爆発したが、試験飛行は決して“失敗”ではない
スペースXが2023年4月20日(米国時間)に実施した宇宙船「スターシップ」の試験飛行は、打ち上げから数分で爆発に終わった。それでも今後の実用化によって宇宙活動のコスト削減や新たな科学的発見が期待されていることから、専門家たちは今回の事態を前向きに受け止めている。

未来を実装する「実験区」へようこそ!
会員限定コンテンツの無料トライアルはこちら

最新テクノロジーからカルチャーまで、次の10年を見通すための洞察が詰まった選りすぐりの記事を『WIRED』日本版編集部がキュレーションしてお届けする会員サービス「 SZ メンバーシップ」。週末に届く編集長からのニュースレターやイベント優待も。無料トライアルを実施中!