2-12 2-12 自動照準のスマートライフルハッキングで誤射の可能性 ● 分類：攻撃研究 ● 対象：スマートライフル（武器） ● 時期：2015 年 ● 地域：米国自動照準のスマートライフルハッキングで誤射の可能性ライフル搭載システムの脆弱性を突いた攻撃だが、悪用されれば、攻撃者はWi-Fi Internet of Things 経由で標的を狙うスコープにアクセスし、標的を自由に変更できるようになって 53 2015 年 8 月、ラスベガスで行われた世界最大級のセキュリティカンファレン e l p ス「Black Hat USA 2015 」において、セキュリティ研究家であるマイケル・アウガー氏とルナ・A・サンドヴィック氏夫妻は、Linux 搭載のスマートライフル「TrackingPoint 」をハッキングし、標的を変更できるようにしたと発表した注 2-12-1 ）。 m a s いた。 2011 年創業の新興銃器メーカーである米ターゲティングポイントが開発した「TrackingPoint 」は、「射撃訓練を受けなくても超長距離射撃できる自動照準ライフル」が売り文句だ（次ページの図2-12-1 ）。Black Hat USA 2015で夫妻がハッキングのデモをした機種は「TrackingPoint TP750 」で、発売直後の価格は1 万 3000ドル（約150万円）。すでに約1000丁が販売されている。同社のライフルは、一般利用者だけでなく、米軍からも注目された。米 CNET 注2-12-2）の報道によると、2014 年 2 月、米軍はテスト目的で6 丁を購入しているという。 TrackingPoint TP750は、ボルト（遊底）を手動で操作するボルトアクション式ライフルで、自動照準スコープを搭載。この自動照準スコープが、射撃で最も重要となるトリガー（引き金）コントロールと連動し、ターゲットに照準があった瞬間に自動で発砲する。その仕組みはこうだ。射手は照準スコープをのぞきながら、引き金の側にある「タブボタン」で、ターゲットを定めてタグ付けをする。すると「Precision Guided Firearm（PGF ）」と呼ぶシステム側でターゲットを認識する。そして、ターゲット sample 注 2-12-1）夫妻は動画投稿サイト「Yo uTu b e」で別のターゲットに照準して自動発射するデモビデオを公開している（h t t p s : // w w w . you t ub e .co m/ wa tch? v=eq2lhEAALNI ）。注 2 -12 - 2）h t t p : // j a p a n . cnet.com/news/ser vice/ 35043739/を参照。 IoTセキュリティ〜インシデントから開発の実際まで〜との距離、風速、空気抵抗などの環境要因を自動計算し、引き金を引くベストなタイミングを割り出す。あとは、引き金を引いた状態でクロスヘア（照準）をターゲットに合わせると、最適なタイミングになった瞬間に、自動発砲する。長距離射撃では、わずかな呼吸の乱れや指の振動でブレが発生するが、同社は「TrackingPoint TP750であれば、そうした影響を受けることなく、的確にターゲットを貫く」と自社のWebサイトで説明している。 TrackingPoint TP750にはWi-Fi 機能が内蔵されており、照準スコープの射撃 e l p 映像は、専用アプリを通じてスマートフォンなどのデバイスにストリーミング配信される。米TechCrunch の報道によると注 2-12-3 ）、Wi-Fi 機能は、映像を見ながら射撃初心者に操作方法を教えたり、システムをアップデートしたりするもので、インターネット接続はできないという。 m a s Internet of Things システム管理用 APIに認証なしでアクセス可能夫妻はプレゼンテーションのスライドで、「Wi-Fi機能が備わっているなら、外部図 2-12-1 54 注 2 - 12 - 3）h t t p : / / t e c h crunch.com/2015/ 01/07/ trackingpoint-takes-deadaim - at-the -future - offirearms-targeting/を参照。米ターゲティングポイントのWebサイト 2-12 自動照準のスマートライフルハッキングで誤射の可能性からの制御も可能であると考えた」と、攻撃研究の動機を振り返っている。TrackingPoint TP750を物理的に分解し、内部の構成部品を解析した。同時に、部品どうしの相互接続性も検証した。その結果、SSIDにはシリアルナンバーが包含されており変更不可であること、Wi-Fi 通信の暗号化にはWPA2（WPA2-AES ）を採用注 2 -12 - 4）h t t p : // w w w . usatoday.com/story/tech/ 2 015 / 0 8 / 0 6 / c m p u t e rcontrolled-rifle-black-hattracking point/31239637/ を参照。していることを確認。一定のセキュリティレベルは維持されているものの、システム管理用APIには認証なしでアクセスできる状態であることを突き止めた。 TrackingPoint TP750 内部には、ファイルシステム用ストレージが格納されて e l p いる。夫妻が同ストレージシステムの検証を行った結果、外部からダイレクトに管理用 APIにアクセスできる状態であったという。さらに、同 APIを通じ、コアシステム機能へも、認証なしでアクセスできることも確認した。さらに夫妻は、内部システム間の通信およびアップデートに、GPG（GNU Privacy Guard ）という暗号化ソフトで生成される公開鍵を採用していることも突き Internet of Things m a s システム側はその変更を無条件で実行してしまうことになる。「GPGの不備」と「システム管理用APIへのアクセス」を悪用すれば、外部から照準を変更できるわけだ。 55 止め、GPGの不備も指摘した。夫妻によると、TrackingPoint TP750ではGPGをシステム（スコープ）側とアプリケーション側の両方で保持しており、ソフトウエアの更新時には、どちらか1つの GPGを利用すればよい仕組みになっていた。つまり、攻撃者が外部デバイスのアプリケーションが保持しているGPGを突き止めてソフトウエアの変更を実行した場合、夫妻はプレゼンテーションのスライドに、「（GPGさえ突き止めれば）rootへのアクセスを取得できる。システムへの永続的な変更が可能になる」と記している。 Black Hat USA 2015のプレゼンテーションの中で夫妻は、Wi-Fi経由でTrackingPoint TP750に不正アクセスし、狙撃者がタグ付けして狙ったターゲットとは別のターゲットに照準して自動発射するデモビデオを披露した。注 2-12-4 ）、この攻撃が成功するためにはなお、米USA TODAY 紙の報道によると Wi-Fiが有効になっていることが条件だという。同サイトは「実際の利用シーンとして、Wi-Fiが有効にしたまま狙撃するケースはほとんどない」としているが、条件が重なれば、悪意のある第三者がライフルを乗っ取り、照準を変更できることは間違いない。なおターゲットポイントは夫妻の発表後、セキュリティパッチを配布し、ソフトウエアアップデートを行った。また、USA TODAY 紙によると、ターゲットポイントは自社のWebサイトのトップに、「（TrackingPoint TP750に搭載されている） Wi-Fi 機能は、ハッカーが周囲 100フィート（約 30メートル）以内にいないことを確認してから利用してください。なお、当社のスマートライフルは、インターネットに接続していません」との注意書きを掲載したとのことだ（現在は削除）。