ニュース

宇宙のサイバーセキュリティ–衛星に対する攻撃や脆弱性悪用の懸念

　Suess氏によると、これらの戦術の多くは、特に他の標的を誤って破壊してしまう潜在的なリスクがあるため、成功させるのが難しいという。

　「この攻撃を実行する主体も国家である場合は、衛星への攻撃において、他の衛星と衝突させる方法や、宇宙ゴミにする方法をとれば、自国の宇宙資産も脅威にさらすことになりかねない。だからこそ私は、自国も宇宙空間を利用している場合、この攻撃の究極的な目標は軍事的な観点から達成不可能だと主張したい」（Suess氏）

　だが、規則や協定によって、政府に対し、他国が宇宙で運用する衛星への本格的なサイバー攻撃の実行を制限できる可能性はあるものの、ウクライナ戦争は、衛星通信への攻撃が決して検討の対象外ではないことを示している。

老朽化する技術

　衛星は永遠に使えるように作られているわけではないが、10年かそれ以上にわたって軌道上にとどまることができる。それに加えて、衛星プログラムや宇宙プログラムは往々にして長期間実施されるため、多くの衛星は老朽化した技術を使用している可能性がある。

　また、ひとたび衛星を宇宙に打ち上げると、衛星を動かすコンピューターシステムをアップグレードするのは難しい。不可能と言ってもいいだろう。地球にある通常のシステムにセキュリティ更新プログラムを適用することが、依然としてサイバーセキュリティの大きな課題であることを考えてみてほしい。さらに、システムにアクセスできない状態でこの問題に直面するという困難を考慮に入れなければならない。

　こうした状況は、サイバーセキュリティの脆弱性が発生した場合に、その脆弱性が衛星の運用期間全体を通じて存在し続ける可能性があることを意味する。宇宙に接続された技術が私たちすべての暮らしに一段と取り入れられていく中で、悪意あるサイバー攻撃者がサービスの妨害や不正操作の方法を見つけた場合に、その点が問題になる可能性がある。

　北大西洋条約機構（NATO）は、この問題を放置すると世界の安全保障に深刻な影響が及ぶと警告した。2019年の研究論文「Cybersecurity of NATO’s Space-based Strategic Assets」（NATOの宇宙戦略資産のサイバーセキュリティ）には、「サイバー攻撃は戦略兵器システムに壊滅的な打撃を与え、不確実性と混乱を生み出すことによって抑止力を弱体化させる可能性がある」と書かれている。

　この論文は、古いIT機器を使用し、既知の脆弱性を取り除くパッチでソフトウェアを更新せず、サプライチェーンの潜在的な弱点を放置していると、衛星システムが攻撃に対して無防備な状態になると警告している。

　「最初の設計でそれをセキュリティに織り込んでいなかったのを彼らのせいにするのは、あまり公平ではない。この点を強調しておきたい。というのも、設計当初は懸念事項ではなかったからだ」。サイバーセキュリティ企業TrellixのAdvanced Research Centreでプリンシパルエンジニア兼脆弱性研究担当ディレクターを務めるDouglas McKee氏はこのように述べた。

　一方で、サイバー犯罪者が自身の能力を高めるにつれて、新たな標的と機会を求めて宇宙に目を向ける可能性がある。

サイバー犯罪者が宇宙に進出か

　かつては政府の領域だった分野において、今では民間企業が宇宙への進出を容易にしている。では、将来のある時点で、犯罪者が自前の衛星を打ち上げて採算が取れるようになる可能性はあるのだろうか。

　「攻撃対象領域を拡大できるとしたら、攻撃者は50万ドルを払って宇宙にハードウェアを送ったり、自分で宇宙に行ったりするだろうか。これは単純な投資利益率（ROI）の計算だ」とMcKee氏。「攻撃に50万ドルかかるとしても、何億ドルも手に入る新しい攻撃対象領域にアクセスできるなら、その費用対効果分析は非常に理にかなっている」

　衛星やその他の宇宙テクノロジーの保護は困難な作業ではない、という幻想は存在しない。それを支えるソフトウェアとハードウェアの一部が現時点でも時代遅れになっている可能性があることを考えれば、なおさらだ。しかし、他のどんなネットワークも、サポートされていないネットワークでさえもそうであるように、基本を正しく実践すれば、効果的なサイバーセキュリティ戦略の達成は可能だ。

　それは、衛星との通信や制御に使用されるコンピューターシステムと地上局を確実に保護することを意味する。

　「視野を広げて、個々の衛星ではなく、衛星群について考えてみてほしい。大半の電波妨害装置は特定の周波数にしか機能しないので、複数の衛星を用意して、すべて異なる周波数帯域で動作させれば、そのうちの1つが突然機能を停止した場合や侵害された場合も、他の衛星を利用できる」とSuess氏は語る。

　「サイバー攻撃についても同様だ。地上の端末の1つが侵害されても、衛星と地上局の多様なネットワークがあれば、それほど重大な問題にはならない」

　未来に目を向けると、自動車から家電製品まで、さまざまな製品のメーカーが、サイバーセキュリティを最初から構築プロセスの一部として組み込む必要があることを学びつつある。それがサイバー攻撃に対するレジリエンスを確保する最良の方法であるからだ。

　衛星に対するサイバー攻撃が非常に近い将来に起きる可能性は低そうだが、IoT接続機能を組み込んだものはすべてインターネット経由でアクセスできるし、衛星もそうなる可能性がある。この点を宇宙への打ち上げのはるか前に念頭に置くことが、今後は重要になるだろう。

　「やはり、セキュリティアーキテクチャーを開発当初から確実に組み込むという点に尽きる。これは、われわれがコンピューター業界やセキュリティ業界の他の分野で学んだことだ。そして、参考にできるプロセスやポリシーがすでに豊富にある」とMcKee氏は述べた。

（この記事はZDNet Japanからの転載です）