米空軍は、昨年のDEF CONセキュリティコンファレンスで、ハッカーたちを募ってF15戦闘機のシステムに侵入させた。その結果、驚きの発見だけでなく泣きたくなるようなひどい現状を目の当たりにした。
ハッカーたちがバグを見つけるために戦闘機のシステムに侵入することを許されたのは、このコンファレンスが最初だった。7人のハッカーで構成されたチームはわずか2日間で、膨大な数の脆弱性を見つけた。この脆弱性が実際に悪用されていたら重要な戦闘機データシステムが破損し、計り知れない壊滅的な被害を受けていた可能性がある。この結果は米空軍が切実に助けを必要としていることを物語ってもいた。
「昨年のDEF CONに参加してみて、この国には、これだけ優れたサイバー専門知識を持つ膨大な人材に恵まれており、米空軍にはそうしたスキルが決定的に欠けていることを認識した」と米空軍の調達・技術・後方支援担当次官補のWill Roper(ウィル・ローパー)氏は語る。調達部門のトップである同氏は、米空軍が製造するすべての人工衛星の管理権限を持つ。米空軍はこれまで、敵国のスパイ活動や破壊工作を恐れて、軍のシステムとテクノロジーのセキュリティを完全極秘扱いにしてきた。まるで「冷戦時代の慣行から抜け出せていないかのようだった」と。
「しかし、今の世界では、そのようなやり方は情報セキュリティーに取り組む最善の姿勢とは言い難い。脆弱性があることを明かしていないからといって、戦争になっても安全だということにはならない」と同氏は続ける。
昨年のDEF CONでの成功を受けて、同氏は今年ラスベガスで開催されるDEF CONでもセキュリティ研究者たちの参加を募る予定だ。今回は、軌道を周回している本物の人工衛星をハッキングしてもらうという。
以前は、潤沢な資金と勇敢な決断力を持つ国だけが宇宙に進出できた。ここ数十年の間、人工衛星を宇宙に打ち上げられるだけのリソースを持つ国はほんのひと握りしかなかった。しかし、現在では、多くの民間企業が自社の人工衛星を打ち上げるようになり、宇宙はかつてないほど混み合っている。宇宙は今や、民間企業も平等に参入できる分野であるだけでなく、敵国が未来の戦場として使う可能性がある場所でもある。
上空数十kmのところにある人工衛星は安全と思えるかもしれないが、実際には非常な危険にさらされているとローパー氏は指摘する。「直接上昇方式の衛星攻撃兵器を打ち上げて衛星を破壊し動作不能にすることや、指向性エネルギー兵器を使って衛星を機能不全にしたり地上からの重要な情報を収集する部品を破壊したりすること、また、衛星の通信信号を妨害して意思決定者間で必要な情報の伝達が行えないようにすることも可能だ」とのこと。
しかも攻撃対象は周回軌道上の人工衛星だけではない。同氏によれば、地上局および地表と衛星間の通信リンクも、衛星本体と同様に攻撃を受ける可能性があるのだという。「我々は、サプライチェーンや組み立て部品供給企業から調達した部品を介して軍のシステム内にバグが忍び込んでいることを知らない。戦闘機や人工衛星でも状況は同じだ。存在自体を認識していないのだから、確認する方法も分からない」と説明する。目的は既存のバグを修正することだけではない。サプライチェーンを強化して、新しいバグの侵入を防ぐ必要もある。
そして同氏は「状況は切実だ。どうしても助けが必要だ」と訴えた。米空軍は、局長であるBrett Goldstein(ブレット・ゴールドスタイン)氏が「国防総省のコンピュータおたく特殊部隊」と呼ぶDefense Digital Serviceの協力を得て、Hack-a-Satというプログラムを考え出した。これはハッカーとセキュリティ研究者を募って、敵国が悪用したがるようなバグや欠陥を見つけてもらう宇宙セキュリティプログラムだ。
米空軍では特定用途化されたクローズド型システムを使うことが慣例になっていることを考えると、これは大きな方向転換である。半オープン型システムに切り替えることにより、衛星テクノロジーをより広範なコミュニティに公開でき、同時に、最高機密に属するテクノロジーへのアクセスは軍内部にいる少数精鋭の専門家とエンジニアだけに制限できる。
「実際に軌道上を周回している軍の衛星をハッキングの対象として許可するよう上層部を説得するのが予想以上に簡単だったことに驚いた」と国防長官の直属の部下であるゴールドスタイン氏は言う。「プログラムの実施にも空軍の協力についても多方面から支援が得られた」と付け加えた同氏に、ローパー氏も「愚かにも現実逃避して、脆弱性を抱えたまま戦争状態に入り、操作員がそんなシステムを使う羽目になるよりも、事前に脆弱性について知っておいたほうがよい」と言って同意した。
両氏とも、人工衛星のハッキングは選び抜かれた精鋭に行ってほしいと話す。最高のハッカーを見つけるため空軍は現在、来月行われる予選について発表した。予選では、研究者に「flat-sat」(フラット衛星)をハッキングしてもらう。flat-satとはテスト用衛星キットのことで、DEF CONで軌道周回衛星をハッキングするために必要な技術的センスとスキルを備えた人材を探し出すことを目的とする。
次ラウンドおよび最終ラウンドまで勝ち抜いた参加者が、地球の周回軌道上を動く本物の人工衛星のハッキングを行う。
「カメラを内蔵した衛星をハッキングして、そのカメラを月の方向に向かせることができるかどうかを見る。文字どおりのムーンショット(moonshotという言葉には、困難だが成功すれば大きな効果をもたらす試みという意味もある)になる予定だ」とローパー氏は語る。
結果がどうなるかは誰にもわからない。「ハッカーたちが最終的に見つけたものを公開できるようにしたい」と両氏は言う。ただ、このハッキングにより、軌道上にある衛星の実際のセキュリティバグが発見される可能性があるため、軌道上での壊滅的被害を回避するには、米空軍が重要情報を保持する必要があるかもしれない。
本記事の執筆時点では、Black HatとDEF CON(ラスベガスで毎年8月に相次いで開催される2大セキュリティコンファレンス)は予定どおり開催されるとのことだ。しかし、新型コロナウイルスのパンデミックをめぐる状況がいつ収束するのか見通しが立たないため、米空軍のチームはさまざまな想定で準備を進めている。両氏によれば、コンファレンスのバーチャル化も視野に入れて計画を進めていくつもりだという。
さらに両氏は「コンファレンスが会場で開催されても、自宅からのリモート参加というかたちになっても、開催の方向で進める」と語る。インターネット接続環境があればどこからでも参加できるのがハッキングの利点だ。
ハッカーたちが人工衛星のハッキングに成功することも期待しているが、大事なのは既存の脆弱性を見つけることだけではない。米空軍のシステムにハッキングというショック療法を施して、セキュリティに対する米空軍の考え方を改めてもらうという重要な意図もあるとローパー氏は言う。
「ハッカーコミュニティと協力することについて、従来とは異なる見方をする空軍兵や宇宙専門家の世代が生まれ、人工衛星の設計においてハッカーを頼りにする時代がやってくるのではないかと思う。そんな時代がやってくれば、サイバーセキュリティに対する姿勢も大幅に改善され、有事に備える米空軍の態勢も向上するだろう」とローパー氏は語る。
関連記事:NASAは国家の敵からの攻撃をどのように防御しているのか
[原文へ]
(翻訳:Dragonfly)
Category: セキュリティ
