スマートメーターのセキュリティ対策、カナダの大学が手法を開発:IoTセキュリティの手法を開発
ブリティッシュコロンビア大学の研究チームは、スマートメーターとスマートグリッドのセキュリティ対策を向上させる2種類の手法を考案した。この手法により、製造前の時点でIoT機器をセキュアにできるという。
カナダのブリティッシュコロンビア大学の研究チームは、スマートメーターとスマートグリッドのセキュリティ対策を向上させる2つのアプローチを考案、2019年6月6日に発表した。チームのメンバーは電気/コンピュータ工学部の准教授で、サイバーセキュリティ研究者であるカーシク・パタビラマン氏と、同氏に師事する博士課程学生だ。
スマートメーターはこれまでのアナログの電力メーターを置き換える装置。日本国内でも数千万台規模の導入が進んでいる。電力会社とスマートメーターが通信することで、人手を介さない自動検針を実現できる。家庭内からほぼリアルタイムに消費電力の状況を把握できるため、省エネ対策にも向く。
もしもスマートメーターが犯罪者の管理下に入ってしまうと、電気料金や住人の生活パターンを盗み見られたり、警報システムを停止されたりする恐れがある。実際に2009年にはプエルトリコで大規模なスマートメーターのハッキングが起き、不正請求の被害が出た。
さらなる被害の可能性もある。(過大な電力を供給した結果として)家屋の火災や爆発、さらには広範囲の停電を引き起こす可能性さえあるという。
ソフトウェア干渉攻撃に備える必要あり
スマートメーターへのサイバー攻撃は隔離された場所に設置されているサーバとは違う。なぜなら、公道に面した手の届く位置に設置されることも少なくないからだ。従って、研究者が「ソフトウェア干渉攻撃」と呼ぶ手法に耐える必要がある。
ソフトウェア干渉攻撃は、攻撃者が物理的にスマートメーターにアクセスし、通信インタフェースを改変したり、スマートメーターを再起動したりするというもの。これによってスマートメーター内部で動作するソフトウェアの実行に干渉できる。具体的にはスマートグリッドにデータを送信できなくなったり、適切でないタイミングでデータを送信し続けたりといった異常な挙動が起きる。
研究チームによれば、PCやサーバなどに対する一般的な攻撃とは異なり、ソフトウェア干渉攻撃はIoTデバイスごとに異なったものとなり、ターゲット機器を絞った分析手法を見つける必要があるという。
攻撃に対抗する一般的な手法をIoTデバイスに適用すると、高い偽陽性を引き起こして、攻撃ではないものを攻撃だと見なしてしまったり、逆にシステムに対する未知の攻撃を全く発見できなかったりするという。
さらに、スマートメーターのようなIoTデバイスは重要度が高い一方で、定期的にパッチを適用することは難しい。従って実際の攻撃に対応するよりも、あらかじめ攻撃される可能性を見つけ出すことが重要だというのが開発チームの主張だ。さらにIoTデバイスは、可能性のある攻撃に対して回復力を持つべきであるという。
研究チームは、こうした攻撃を検知する2つの手法を考案、今回、自動化プログラムを開発した。
仮想モデルへの攻撃と脆弱性の調査、どちらが効率的?
2つの手法とは設計レベル分析とコードレベル分析だ。
- 設計レベル分析:スマートメーターの仮想モデルを作成し、それに対してどのような攻撃が実行可能かを表現するもの
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
人工知能でメーター表示を読み取り、GMOクラウドが工場などに向けてサービス提供
GMOクラウドは各種メーターをスマートフォンで撮影するだけで表示値を集計できるサービスの提供を開始した。撮影したメーターの画像を人工知能が読み取り、集計する。固定カメラなどの設置工事は不要で、導入コストを抑えられる。
音がHDDを損傷させる――PCをクラッシュさせる音響攻撃の危険をセキュリティ研究者が警告
ミシガン大学と浙江大学のセキュリティ研究者が、音波でHDDを物理的に損傷させる攻撃手法を公開した。
「セキュア開発」はなぜ浸透しないのか?――DevSecOpsを妨げる“4つの敵”
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポート第2弾(東京Bトラック編)をお届けする。