スマートメーターのセキュリティ対策、カナダの大学が手法を開発:IoTセキュリティの手法を開発
ブリティッシュコロンビア大学の研究チームは、スマートメーターとスマートグリッドのセキュリティ対策を向上させる2種類の手法を考案した。この手法により、製造前の時点でIoT機器をセキュアにできるという。
カナダのブリティッシュコロンビア大学の研究チームは、スマートメーターとスマートグリッドのセキュリティ対策を向上させる2つのアプローチを考案、2019年6月6日に発表した。チームのメンバーは電気/コンピュータ工学部の准教授で、サイバーセキュリティ研究者であるカーシク・パタビラマン氏と、同氏に師事する博士課程学生だ。
スマートメーターはこれまでのアナログの電力メーターを置き換える装置。日本国内でも数千万台規模の導入が進んでいる。電力会社とスマートメーターが通信することで、人手を介さない自動検針を実現できる。家庭内からほぼリアルタイムに消費電力の状況を把握できるため、省エネ対策にも向く。
もしもスマートメーターが犯罪者の管理下に入ってしまうと、電気料金や住人の生活パターンを盗み見られたり、警報システムを停止されたりする恐れがある。実際に2009年にはプエルトリコで大規模なスマートメーターのハッキングが起き、不正請求の被害が出た。
さらなる被害の可能性もある。(過大な電力を供給した結果として)家屋の火災や爆発、さらには広範囲の停電を引き起こす可能性さえあるという。
ソフトウェア干渉攻撃に備える必要あり
スマートメーターへのサイバー攻撃は隔離された場所に設置されているサーバとは違う。なぜなら、公道に面した手の届く位置に設置されることも少なくないからだ。従って、研究者が「ソフトウェア干渉攻撃」と呼ぶ手法に耐える必要がある。
ソフトウェア干渉攻撃は、攻撃者が物理的にスマートメーターにアクセスし、通信インタフェースを改変したり、スマートメーターを再起動したりするというもの。これによってスマートメーター内部で動作するソフトウェアの実行に干渉できる。具体的にはスマートグリッドにデータを送信できなくなったり、適切でないタイミングでデータを送信し続けたりといった異常な挙動が起きる。
研究チームによれば、PCやサーバなどに対する一般的な攻撃とは異なり、ソフトウェア干渉攻撃はIoTデバイスごとに異なったものとなり、ターゲット機器を絞った分析手法を見つける必要があるという。
攻撃に対抗する一般的な手法をIoTデバイスに適用すると、高い偽陽性を引き起こして、攻撃ではないものを攻撃だと見なしてしまったり、逆にシステムに対する未知の攻撃を全く発見できなかったりするという。
さらに、スマートメーターのようなIoTデバイスは重要度が高い一方で、定期的にパッチを適用することは難しい。従って実際の攻撃に対応するよりも、あらかじめ攻撃される可能性を見つけ出すことが重要だというのが開発チームの主張だ。さらにIoTデバイスは、可能性のある攻撃に対して回復力を持つべきであるという。
研究チームは、こうした攻撃を検知する2つの手法を考案、今回、自動化プログラムを開発した。
仮想モデルへの攻撃と脆弱性の調査、どちらが効率的?
2つの手法とは設計レベル分析とコードレベル分析だ。
- 設計レベル分析:スマートメーターの仮想モデルを作成し、それに対してどのような攻撃が実行可能かを表現するもの
- コードレベル分析:スマートメーターが内蔵するコードの脆弱(ぜいじゃく)性を調査し、これらの脆弱性を狙ってさまざまな攻撃を仕掛けるもの
研究チームは、この両方の手法でシステムへの攻撃が可能な道筋を発見したが、コードレベル分析の方が設計レベル分析よりも効率が良く、精度も高かった。コードレベル分析では、1時間で9種類の攻撃が見つかったが、設計レベル分析で見つかったのは3種類だった。
これらの攻撃はいずれも、オンラインで購入できる安価な機器(50ドル未満)を使って実行できるものであり、攻撃の際には専門的なノウハウが不要だという。
研究チームが考案した設計レベル分析とコードレベル分析という2つのアプローチを適用することで、メーカーは、スマートメーターの製造前に設計をテストし、最初からセキュリティを組み込める。これは「セキュリティ・バイ・デザイン」の考え方とも合致する。これにより、スマートメーター製品へのハッキングが非常に困難になるという。
さらにこれらのアプローチは、スマートグリッドに接続されるスマートメーター以外のデバイスにも適用できる。オフィスにとどまらず、家庭内の機器でもネットワーク接続が進んでいるだけに、この考え方は重要だと、パタビラマン氏は述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
人工知能でメーター表示を読み取り、GMOクラウドが工場などに向けてサービス提供
GMOクラウドは各種メーターをスマートフォンで撮影するだけで表示値を集計できるサービスの提供を開始した。撮影したメーターの画像を人工知能が読み取り、集計する。固定カメラなどの設置工事は不要で、導入コストを抑えられる。
音がHDDを損傷させる――PCをクラッシュさせる音響攻撃の危険をセキュリティ研究者が警告
ミシガン大学と浙江大学のセキュリティ研究者が、音波でHDDを物理的に損傷させる攻撃手法を公開した。
「セキュア開発」はなぜ浸透しないのか?――DevSecOpsを妨げる“4つの敵”
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポート第2弾(東京Bトラック編)をお届けする。