自動照準のスマートライフル ハッキングで誤射の可能性

2-12
2-12
自動照準のスマートライフル ハッキングで誤射の可能性
● 分類:攻撃研究
● 対象:スマートライフル(武器)
● 時期:2015 年
● 地域:米国
自動照準のスマートライフル
ハッキングで誤射の可能性
ライフル搭載システムの脆弱性を突いた攻撃だが、悪用されれば、攻撃者はWi-Fi
Internet of Things
経由で標的を狙うスコープにアクセスし、標的を自由に変更できるようになって
53
2015 年 8 月、ラスベガスで行われた世界最大級のセキュリティカンファレン
e
l
p
ス「Black Hat USA 2015 」において、セキュリティ研究家であるマイケル・ア
ウガー 氏とルナ・A・サンドヴィック氏夫妻は、Linux 搭載のスマートライフル
「TrackingPoint 」をハッキングし、標的を変更できるようにしたと発表した注 2-12-1 )。
m
a
s
いた。
2011 年創業の新興銃器メーカーである米ターゲティングポイントが開発した
「TrackingPoint 」は、
「射撃訓練を受けなくても超長距離射撃できる自動照準ライ
フル」が売り文句だ(次ページの図2-12-1 )
。Black Hat USA 2015で夫妻がハッ
キングのデモをした機種は「TrackingPoint TP750 」で、発売直後の価格は1 万
3000ドル(約150万円)
。すでに約1000丁が販売されている。
同 社 の ラ イ フ ル は、一 般 利 用 者 だ け で な く、米 軍 か ら も 注 目 さ れ た。米
CNET 注2-12-2)の報道によると、2014 年 2 月、米軍はテスト目的で6 丁を購入してい
るという。
TrackingPoint TP750は、ボルト(遊底)を手動で操作するボルトアクション式
ライフルで、自動照準スコープを搭載。この自動照準スコープが、射撃で最も重要
となるトリガー(引き金)コントロールと連動し、ターゲットに照準があった瞬間
に自動で発砲する。
その仕組みはこうだ。射手は照準スコープをのぞきながら、引き金の側にある「タ
ブ ボタン」で、ターゲットを定めてタグ付けをする。すると「Precision Guided
Firearm(PGF )」と呼ぶシステム側でターゲットを認識する。そして、ターゲット
sample 注 2-12-1)夫妻は動
画 投 稿サイト
「Yo uTu b e」で
別 のター ゲットに照 準して自
動 発 射 するデ モビ デ オ を 公
開している
(h t t p s : // w w w .
you t ub e .co m/ wa tch?
v=eq2lhEAALNI )
。
注 2 -12 - 2)h t t p : // j a p a n .
cnet.com/news/ser vice/
35043739/を参照。
IoTセキュリティ〜インシデントから開発の実際まで〜
との距離、風速、空気抵抗などの環境要因を自動計算し、引き金を引くベストなタ
イミングを割り出す。あとは、引き金を引いた状態でクロスヘア(照準)をターゲッ
トに合わせると、最適なタイミングになった瞬間に、自動発砲する。長距離射撃で
は、わずかな呼吸の乱れや指の振動でブレが発生するが、同社は「TrackingPoint
TP750であれば、そうした影響を受けることなく、的確にターゲットを貫く」と自
社のWebサイトで説明している。
TrackingPoint TP750にはWi-Fi 機能が内蔵されており、照準スコープの射撃
e
l
p
映像は、専用アプリを通じてスマートフォンなどのデバイスにストリーミング配信
される。米TechCrunch の報道によると注 2-12-3 )、Wi-Fi 機能は、映像を見ながら射
撃初心者に操作方法を教えたり、システムをアップデートしたりするもので、イン
ターネット接続はできないという。
m
a
s
Internet of Things
システム管理用 APIに認証なしでアクセス可能
夫妻はプレゼンテーションのスライドで、
「Wi-Fi機能が備わっているなら、外部
図 2-12-1
54
注 2 - 12 - 3)h t t p : / / t e c h
crunch.com/2015/ 01/07/
trackingpoint-takes-deadaim - at-the -future - offirearms-targeting/を参照。
米ターゲティングポイントのWebサイト
2-12
自動照準のスマートライフル ハッキングで誤射の可能性
からの制御も可能であると考えた」と、攻撃研究の動機を振り返っている。TrackingPoint TP750を物理的に分解し、内部の構成部品を解析した。同時に、部品ど
うしの相互接続性も検証した。その結果、SSIDにはシリアルナンバーが包含され
ており変更不可であること、Wi-Fi 通信の暗号化にはWPA2(WPA2-AES )を採用
注 2 -12 - 4)h t t p : // w w w .
usatoday.com/story/tech/
2 015 / 0 8 / 0 6 / c m p u t e rcontrolled-rifle-black-hattracking point/31239637/
を参照。
していることを確認。一定のセキュリティレベルは維持されているものの、システ
ム管理用APIには認証なしでアクセスできる状態であることを突き止めた。
TrackingPoint TP750 内部には、ファイルシステム用ストレージが格納されて
e
l
p
いる。夫妻が同ストレージシステムの検証を行った結果、外部からダイレクトに
管理用 APIにアクセスできる状態であったという。さらに、同 APIを通じ、コアシ
ステム機能へも、認証なしでアクセスできることも確認した。
さらに夫妻は、内部システム間の通信およびアップデートに、GPG(GNU Privacy Guard )という暗号化ソフトで生成される公開鍵を採用していることも突き
Internet of Things
m
a
s
システム側はその変更を無条件で実行してしまうことになる。
「GPGの不備」と「シ
ステム管理用APIへのアクセス」を悪用すれば、外部から照準を変更できるわけだ。
55
止め、GPGの不備も指摘した。
夫妻によると、TrackingPoint TP750ではGPGをシステム(スコープ)側とアプ
リケーション側の両方で保持しており、ソフトウエアの更新時には、どちらか1つの
GPGを利用すればよい仕組みになっていた。つまり、攻撃者が外部デバイスのアプ
リケーションが保持しているGPGを突き止めてソフトウエアの変更を実行した場合、
夫妻はプレゼンテーションのスライドに、
「
(GPGさえ突き止めれば)rootへのアク
セスを取得できる。システムへの永続的な変更が可能になる」と記している。
Black Hat USA 2015のプレゼンテーションの中で夫妻は、Wi-Fi経由でTrackingPoint TP750に不正アクセスし、狙撃者がタグ付けして狙ったターゲットとは
別のターゲットに照準して自動発射するデモビデオを披露した。
注 2-12-4 )
、この攻撃が成功するためには
なお、米USA TODAY 紙の報道によると
Wi-Fiが有効になっていることが条件だという。同サイトは「実際の利用シーンとし
て、Wi-Fiが有効にしたまま狙撃するケースはほとんどない」としているが、条件が重
なれば、悪意のある第三者がライフルを乗っ取り、照準を変更できることは間違いな
い。
なおターゲットポイントは夫妻の発表後、セキュリティパッチを配布し、ソフト
ウエアアップデートを行った。また、USA TODAY 紙によると、ターゲットポイン
トは自社のWebサイトのトップに、
「
(TrackingPoint TP750に搭載されている)
Wi-Fi 機能は、ハッカーが周囲 100フィート(約 30メートル)以内にいないことを
確認してから利用してください。なお、当社のスマートライフルは、インターネッ
トに接続していません」との注意書きを掲載したとのことだ(現在は削除)
。