この記事は趣味で宇宙開発をしている団体「リーマンサット・プロジェクト」がお送りする新春アドベントカレンダーです。
#Who am I?
- リーマンサットでは、映像制作やその他諸々のデザイン等をきまぐれでやっています
- 趣味で、旅行関連メディア「EAT PRAY CARP 」を運営しています
- 普段はサラリーマンとして色々やっています
- Youtubeのチャンネル登録者を募集中
#イントロ
近年サイバーセキュリティは、企業、個人、国家にとって重要なアジェンダであり、さまざまな分野で重要性が議論され、対応策が検討されています。また、様々な機器の複雑化に伴い、サイバーリスクに晒される機器も対象とすべき機器もPCやサーバに限らず、オフィス機器や産業機器等の業務の中枢となる機械、おもちゃや家電等の生活に密接に結びつく機器、医療機器や自動車等の生命に関わる機器、発電設備や軍事システムといった社会が依存するシステムに至るまで、プログラム可能な機器は何らかのサイバーリスクに晒されているという認識が一般的です。従って、人工衛星がハッキングの対象と考えられるのは必然的な流れといえるでしょう。
また、民間宇宙開発が活発化し新規参入が増加し、多様な宇宙空間の活用方法が模索されており人工衛星に対するセキュリティの懸念がメディアでも指摘され始めています。
#人工衛星関連の攻撃シナリオ
一言に人工衛星へのサイバー攻撃と言っても様々な脅威シナリオが想定されています。人工衛星の中には軍事的な目的を想定して設計されているものを含むため、シナリオの中には実現難易度がかなり高いものもあります。
##1.武器化(Weaponize)
悪意のあるものが衛星そのもののコントロール権限を握って、なんらかの破壊的な行為に利用されてしまうシナリオです。セキュリティ研究者の中にはハッカーが独自の地上局を作成するか、地上局を乗っ取ることとで悪意のあるコマンドを衛星に送信し、最悪の場合軌道を変更してほかの標的の衛星や宇宙船と衝突させたり、危険な方法で地球に落下させられてしまうと警鐘を鳴らす人もいます。一見すると納得感がありますが、ハッカー意図した通りの軌道に任意の人工衛星をコントロールするためには、強力な推進系(スラスター)を搭載した衛星が対象となるので、脅威の対象となる衛星は限られてくると思います。また実行にはかなり高度な技術と知識が必要となるため、脅威の実行者として想定されるのは国家やその支援を受けた集団などになるのではないでしょうか。
##2.なりすまし(Spoofing)
衛星になりすまして信号などを送るシナリオです。GPS測位システムは31機の衛星からの信号によって位置や時刻を取得していますが、GPS衛星からの信号は比較的容易に偽装できるためすでにGPS信号を偽装して、航空機や船舶の航路を誘導すること事件が世界中で起きています。これらは厳密には衛星というより地上機器に対するハッキングなのですが、現代社会はナビゲーションだけでなく金融システムや電子カルテの時刻補正にも使われているため、実行が簡単な割に影響範囲が大きい厄介な問題です。
##3.破壊(Destroy)
意図した通りに人工衛星の操ることは出来なくても、機能を停止させることは比較的容易です。推進系の搭載されていない衛星でも、衛星の向きを制御しセンサーや太陽パネルを直射日光に向けて破壊したり、電源喪失させることで、ミッション遂行ができない状態になってしまうことです。破壊された衛星が提供するサービスが停止されてユーザーに影響がでるだけでなく、開発・打上げに決して安くはないコストがかかる人口衛星を機能停止に追い込む事は、衛星を保有ないし運用している企業に対して金銭的なダメージを与えることができます。したがってランサムウェアのように、身代金要求目的で衛星をシャットダウンさせる脅威実行者が現れる可能性があります。
##4.盗聴(Eavesdropping)
無線通信は便利である反面、その特性上常に盗聴のリスクに見舞われています。WIFIは電波が届く範囲の物理セキュリティ(入退出管理等)を確保する等の対策のしようがありますが、地上局と人工衛星の通信は、受信機さえあれば不特定多数が傍受することができてしまうため、暗号化等の対策をしない限りは通信内容の機密性は担保されません。通信内容から機密情報を盗んだり有料放送をタダでみようとするなどのポピュラーな動機を持った脅威実行者もいるでしょうが、危惧すべきなのはシナリオ1で言及した衛星の乗っ取りを実行する足がかりとして、制御プロトコルが解析されてしまうことです。
#人工衛星のセキュリティ対策の厄介なポイント
さて、ここまで人工衛星を取り巻くセキュリテイ脅威を紹介してきましたが、ここまで読んで「いや、別にほかの情報システムとあんまり変わらなくね?」と思っている方も多いのではないでしょうか。長年のハッカーとセキュリティ研究者の死屍累々の上に、我々はこれらの歴史ある脅威にシナリオに対するセキュリティ対策のベストプラクティスを知っています。通信は暗号化し、鍵は定期的に交換し、ソフトウェアには最新のセキュリティパッチを適応するなどは今や幼稚園でも教えている基本的な対策です。では人工衛星にこれをそのまま適応できるかというと、そうは行かない不都合なポイントがあります。
##1.リソース制約
人工衛星を設計する時は、火の車の家系をやりくりするごとくあらゆるリソースを切り詰めています。不正アクセス検知プログラムを常に走らせたり、通信を暗号化、複合するためにはより多くの計算量が必要で、そのためにはより高性能なコンピュータと電力が必要です。より多くの電力を供給するためには、より大容量のバッテリーと発電装置が必要になり、これらは打ち上げコストに跳ねてきてしまいます。民間打ち上げ競争で今後打ち上げコストの低下が期待されているとはいえ、暫くは軽さこそ正義です。通信暗号化は贅沢品になってしまうため、軍事衛星などの機密性が極めて要求されるミッションに限定されてしまうのではないでしょうか。
##2.リモート環境
人工衛星は、一度打ち上げてしまうと更新・拡張したり修理しに行くことがでない(過去にはスペースシャトルでハッブル宇宙望遠鏡を修理しに行った事もありますが)ため、メンテナンスを全てリモートで行わなければいけません。例えば、運用している衛星に使用しているハードウェアまたはソフトウェアに新たな悪用可能な脆弱性が発見された場合、セキュリティパッチの適応をリモートで実施する必要がありますが、遠隔でシステムをアップデートできるようにするという事は、その機能を利用してシステムが改ざんされてしまう可能性も内包してしまいます。これに対応するためには、システム変更などの特権行為についてはコマンドを実行するユーザーが正しい運用者であることを認証する必要があります。ご存知の通り、リモートで真正性を担保するための技術はいくつかありますが、これらの技術は暗号技術に依存しています。
##3.長いライフサイクル
人口衛星の寿命はさまざまですが、衛星の寿命は1,2年から長いもので15-20年程度になります。長い運用期間の間に、暗号鍵が漏洩したり、部品やシステムの脆弱性が見つかったり、半導体技術が進歩して設計時に鉄壁の暗号を実装したとしても、気休めにしかならない代物になってしまっている可能性は大いにあるでしょう。
#もちろん地上の対策も忘れずに
もし頑張って、人工衛星に暗号化通信や認証システムを実装したとしても、地上局がのっとられてしまうと、厳しいリソース制約の中で実現した人工衛星設計者の努力が水泡に帰し、制御をのっとられてしまうかもしれません。システムだけででなく、物理や人的なセキュリテイ対策を含めて包括的に対策を実施していきましょう。
#今後
昨年(2020年)の9月に米国では、宇宙システムをサイバー脅威やサイバー攻撃から守るためのベストプラクティス「Memorandum on Space Policy Directive-5—Cybersecurity Principles for Space Systems」が公開されています。また昨年のセキュリティイベント「DEF CON」でも人工衛星を対象としたハッカソンが開催されるなど、人工衛星をハッキングしようという世界の動きは宇宙システムをセキュリティ脅威から守ろうという意識は高まっている様です。
人工衛星のセキュリティに興味を持たれた方は https://www.rymansat.com/join からお気軽にどうぞ。