68
ボーイング757、サイバーセキュリティテストで国土安全保障省にハッキングされる

民間企業、大学、そして国土安全保障省(DHS)のセキュリティ研究者グループが、実験室ではない環境でボーイング757を遠隔ハッキングすることに成功しました。このテストは昨年実施されましたが、バージニア州で開催された2017年サイバーサットサミットで最近になって公開されました。

無線周波数ハッキング

DHS科学技術局(S&T)サイバーセキュリティ部門の航空プログラムマネージャー、ロバート・ヒッキー氏は、研究者らは無線周波数通信を通じて航空機のシステムにアクセスできたと述べた。

「2016年9月19日に飛行機を手に入れました。その2日後、遠隔操作による非協力的な侵入に成功しました」と、サイバーサット・サミットでヒッキー氏は述べた。「つまり、飛行機に誰も触れておらず、内部からの脅威もありませんでした。セキュリティを通過できるような一般的な手段を使って距離を保ち、飛行機のシステムに侵入することができました」と彼は付け加えた。

このハッキングで最も恐ろしかったのは、研究者たちがこのハッキングを思いつくのにわずか2日しかかからなかったことかもしれない。国土安全保障省(DHS)がこの攻撃に関心を寄せたのは、2015年にハッカーが飛行中の飛行機のエンジン制御を乗っ取ることができたと主張したことがきっかけだったようだ。同年、会計検査院(GAO)は「潜在的な悪意のある人物」が航空機のWi-Fiネットワークにアクセスする可能性について警告を発していた。

追加の詳細

DHSはTom's Hardwareに対し、ヒッキー氏の発言には「重要な文脈が欠けている」と述べた。DHSによると、テストは実験室で行われたわけではないものの、「リスク低減措置」が講じられた人工的なテスト環境で行われたという。つまり、現実世界のシナリオを想定したテストではなかったということだ。

しかし、これは必ずしもこの特定のハッキングが現実世界のシナリオで起こり得ないことを意味するわけではなく、単にこのハッキングがまだ実際のシナリオでテストされていないというだけです。

我々がボーイング社に連絡を取ったところ、同社は757型機にサイバーセキュリティ上の脆弱性があることを全面的に否定した。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

ボーイング社は長年にわたり、DHS、FAA、その他の政府機関、サプライヤー、顧客と緊密に連携し、自社航空機のサイバーセキュリティを確保してきました。今後も引き続き連携していきます。ボーイング社は、Aviation Today の記事で言及されているテストを観察し、結果の説明を受けました。テストでは、757 をはじめ、ボーイング社の他の航空機にサイバー上の脆弱性は確認されなかったと確信しています。ボーイング社は、自社航空機のサイバーセキュリティ対策に自信を持っています。ソフトウェア、ハードウェア、ネットワーク アーキテクチャ機能、ガバナンスなど、多層的な保護により、すべての重要な飛行システムを侵入から保護します。ボーイング社のサイバーセキュリティ対策は、FAA の認証プロセスを含む厳格なテストを受けており、当社の航空機は適用されるすべての規制基準を満たしているか、それを上回っています。

そのため、ボーイング社は自社機に脆弱性が存在することを否定しており、テストの詳細は依然として機密扱いとなっている。詳細が公表されるまでは、テストされたハッキン​​グが現実世界でどれほどの確率で発生するのかを確実に知ることはできない。

飛行機のバグ修正には高額な費用がかかる

ヒッキー氏はサイバーサットサミットで、航空会社にとって航空機のシステムパッチ適用はほぼ法外な費用がかかると指摘した。同氏によると、航空機全体のコード1行を変更するだけで100万ドルの費用がかかり、実装には1年かかるという。

良いニュースとしては、ボーイング 757 型機は 2004 年以降生産されていないことです。悪いニュースとしては、ボーイング 757 型機を含むボーイングとエアバス両社の旧型機が、現在も使用されている民間航空機の 90% 以上を占めていることです。

セキュリティを考慮して設計されているのは、ボーイング787やエアバスA350といった比較的新しい機種だけです。しかし、5年前にケンブリッジ大学の専門家2人がボーイング787のチップに「バックドア」を発見したように、ボーイング787にも独自の問題がある可能性があります。彼らは、このバックドアによって攻撃者が機体を乗っ取る可能性があると警告しました。

セキュリティにおける一般的な経験則として、デバイスの接続性が高いほど、ハッキングされる可能性が高くなります。何かをインターネットに接続すると、世界中の攻撃者が、通常は接続なしではアクセスできないシステムにアクセスする機会を与えてしまいます。

航空機メーカーは、ソフトウェアセキュリティをより真剣に検討すべき時が来ていると言えるでしょう。特に、航空機が既に運用開始された後にミスを修正するには、莫大な費用がかかるからです。さらに、今後の研究のすべてが機密情報で隠蔽されるわけではないため、遅かれ早かれ、セキュリティ問題に公の場で取り組む必要が出てくるでしょう。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Tips
Posted by Lorlink