偽の電波で“GPSのなりすまし”攻撃、誤誘導される恐れも。黒海沿岸などで頻発、ドローンの撃退が目的か？

　自動車や船舶、航空機などのナビゲーションや時刻同期など、社会の重要なインフラとして広く活用されている“GNSS（全球測位衛星システム）”。米国の「GPS」やロシアの「GLONASS」、欧州の「Galileo」など、世界各国でさまざまなGNSSを運用しており、近年では日本でも準天頂衛星「みちびき」のサービス開始により、それがもたらす高精度測位が注目を集めている。

　このようにGNSSの重要性が増す中で、そのセキュリティ面の課題について注意を呼び掛けているのが、位置情報や衛星測位技術に関する技術開発を行っているイネーブラー株式会社だ。GNSS機器へのハッキング対策について検証を行うソリューションを提供している同社に、GNSSのセキュリティについて詳しく話を聞いてみた。

イネーブラー株式会社のウェブサイト

もしもGPSがハッキングされたら……空港管制システムの障害が起きた事件も

　同社GNSS事業部の佐藤真木氏は、「これまでのGNSSは、精度を追い求めて技術の研鑽を積み重ねてきたが、次はセキュリティという観点で検証する時代が来ています」と語る。

　「“GNSSとセキュリティ”という言葉の組み合わせには、あまりなじみがないかもしれません。しかし、例えばGPSが搭載された自動運転車や配送ドローンが移動中に、GPSがハッキングされてしまったらどうなってしまうかをイメージしてください。車同士が位置情報をもとに協調して動いているはずなのに事故が起きてしまう可能性があるし、ドローンによる配送ならば荷物が奪われてしまうかもしれません。」

　さらに、GNSSは測位だけでなく、ネットワークのタイムサーバーとしても利用されている。もし、GNSSがハッキングを受けて不正確なタイムスタンプが押されてしまったら、それを利用する携帯電話の基地局網や銀行システムなどが混乱する恐れもある。佐藤氏はそう指摘する。

　「GNSSは飛行機や新幹線の管制システムでも利用されています。特に、空港の管制システムについては、2010年以降、韓国のソウル空港や米国のサンディエゴ空港において、GPSが妨害されてトラブルを起こしたという事件が実際に起きています。」

イネーブラー株式会社GNSS事業部の佐藤真木氏

GPSは容易に攻撃可能？ その2つの手法“ジャミング”と“スプーフィング”

　GNSSへの脅威としては、一般的に“マルチパス”（ビルや山による電波の乱反射）がよく知られているが、それ以外の悪意のある攻撃として、GNSSの電波を妨害する“ジャミング”と、偽の電波を放送してなりすましを行う“スプーフィング”の2つがある。

GNSS電波を妨害する“ジャミング”

偽の電波でなりすましを行う“スプーフィング”

　このような2種類の攻撃が可能となる背景には、GNSSの信号が極めて脆弱であることが挙げられる。「地上で受信されるGPS信号は非常に低い電力で、よく言われる例えとしては、『2万km離れたところにある100ワットの電球と同じエネルギーを受信するようなもの』と言われています」と佐藤氏。極めて信号が弱いため、地上においてGPS信号は極めて他の電波の干渉を受けやすい。

　そのため、20～300ドルという安価な値段でGNSS電波を妨害する“GNSS（GPS）ジャマ－”がインターネットで気軽に購入可能となっており、このようなデバイスを使うことでGNSSの電波を簡単につぶすことができる。

GPSジャマ－

　GNSSジャマ－は“PPD（Personal Privacy Device：個人用保護デバイス）”とも呼ばれており、個人情報保護を目的として購入する人もいる。例えば、米国では、トラックの運転車やタクシーのドライバーの位置情報を会社がモニターすることで勤怠管理が行われることがあり、仕事をサボりたいときにドライバーがシガーソケットにGNSSジャマーを差し込んで、位置情報を取得できないようにするという事件が発生しているという。

　このように個人が軽い気持ちで使ったとしても、妨害電波を出すことで、自分だけでなく周囲のGNSSデバイスに影響を与えてしまう可能性があるため、米国ではすでにGNSSジャマーの使用は違法になっている。日本においても、GNSSジャマ－のような通信抑止装置を無線局の免許を受けずに設置・運用した場合は電波法に触れる可能性があるが、微弱信号の範囲で出している限りは違法にはならない。ただし、その仕様を守っていない機器もインターネット通販で気軽に購入できるため、今後、普及が進んでしまう可能性はある。

GPSのスプーフィング攻撃、黒海沿岸では2年間で1万件

　GNSSのもう1つの特徴は、その信号の構造が広く公開されており、誰でも簡単に同じ信号を作り出すことができる点だ。これを利用した攻撃がスプーフィングで、偽の信号を悪意のある人間が地上から送信することにより、実際のGPS信号を使わせないように乗っ取って、実際とは異なる位置情報に変えてしまうことを意味する。

　「一般的に“ハッキング”というと、デジタルデータへの攻撃・改ざんを意味しますが、GNSSのハッキングは、RF（Radio Frequency：高周波）への攻撃・改ざんを意味します。実際のGNSS電波と区別しにくいRFの電波として出すために、受信機側としては防御しにくく、このようななりすまし信号はソフトウェアの書き換えにより簡単に作り出すことができます。」

　海外では、船舶に対してスプーフィングを仕掛ける実験を行ったところ、その船舶が別の場所に誘導されてしまったという事例もあるという。このような偽の信号を作り出すソフトウェアはフリーで公開されており、以前は高価な機器が必要だったが、今では5ユーロ（約600円）くらいの部品を使って簡単に作り出すことができるという。

　「黒海沿岸などではスプーフィングの攻撃が頻発しており、ここ2年間で1万件ほどの事例が確認されたそうです。攻撃を受けた結果、GNSSがどのような影響を受けるかというと、現在地から数十キロ離れた空港の位置情報に改ざんされてしまう。なぜ空港かというと、ドローンを誤誘導するためであると言われています。大手のドローン会社が販売しているドローンは、空港周辺に入り込むと自動的にそのエリアから離れて離陸地点に戻ったり、その場に着陸したりするように設定されているので、それを利用して、自国に侵入しようとするドローンを撃退するわけです。」

黒海とアゾフ海を結ぶケルチ海峡にいる船がスプーフィングを受けて、約70km離れたヴィチャゼヴォ空港（アナパ空港）に位置情報が改ざんされた（出典：C4ADS）

　今のところ、日本においてGNSSのハッキングによる大規模な障害が起きた事例はないが、佐藤氏が顧客から寄せられた情報によると、日本においても、一般道路でジャミングやスプーフィングの信号が確認できることはけっして少なくないという。ただし、そのようなハッキングは持続的に行われることはないため、発信源を追跡することは難しい。

　「安価な機器が出回っているので、日本でも『原因は分からないけどGPSがおかしい』という事例は今後、増えていくと思われます。悪意はなく研究目的などで使ったとしても、結果的にジャミング信号を出して周囲に影響を及ぼしてしまうことがあります。」

ジャミング／スプーフィングへの対策方法とは？

　それではジャミングやスプーフィングなどの攻撃に対して、GNSSデバイスのサプライヤーやユーザーはどのように対策すればいいのだろうか。佐藤氏がまず挙げた対策方法は、「アレイアンテナを使用してハッキング信号の到来方向を検知する」「GNSSの電波に認証信号を取り入れる」の2つ。

　アレイアンテナは、アンテナの素子を規則的に並べることでハッキング信号やジャミングの到来方向を検知する技術だが、アンテナが大きく、軍用なので民生品が流通していないという問題がある。また、認証信号を取り入れる方法については、GNSSのインフラすべてを見直す必要があり、まだ実証実験レベルでしか使われたことがないという。

　そこで今すぐできる現実的な対策として、佐藤氏は、GNSSのバックアップ手段を構築することを推奨している。例えば測位であれば、カメラやレーダー測位、IMU（Inertial Measurement Unit：慣性計測装置）、マップマッチングなどの技術を併用し、それらとGNSSの位置情報が矛盾していないかを比較する。時刻同期であれば、デバイスの内部クロックやNTP（Network Time Protocol）やPTP（Precision Time Protocol）などの時刻同期プロトコルを併用し、ジャミングが行われた場合はほかのネットワークのクロックを使用する。このようなバックアップ手段と併用することにより、システムの安全性を保つことができる。

　さらにもう1つのアプローチとして、佐藤氏はGNSSデバイスのサプライヤーに対して、「GNSSのセキュリティ診断」を推奨している。

　「偽のGNSS信号と本物のGNSS信号とをそれぞれ生成して、コンバイナー（高周波の信号を合成する部品）で合成して受信機に送信することで、どのような条件のときにテスト対象のGNSSシステムがハッキングされてしまうかを定量的に検証することができます。そうすることで、どのようなタイミングでバックアップに切り替えればいいのかを判断することができます。」

偽の信号と本物の信号を合成して受信機に送信

　近年開発されたGNSSチップには、セキュリティ対策に対応した製品もあり、そのような製品についても、どのような条件で測位が正しく働かなくなるのかを検証することが重要になってくる。診断の際に重要となるパラメーターは、「信号のレベル（S/N比）」「時刻差」「距離差」の3要素だ。

　信号レベルについては、GNSS信号は脆弱なため、本物の信号に比べてハッキングの信号が強い傾向が高い。そのため、信号の強さを上げ下げすることで、どれくらいセキュリティ耐性があるのかを検証する。

　時刻差については、実際のGNSS信号が持つ時刻と、ハッキング信号の時刻を比較して、どれくらいの時刻差の場合に受信機がジャミング信号であると判断するかを検証する。わずかな時刻差の場合は判断が難しいため、これを1つの診断パラメーターとして検証することで、テスト対象のGNSSシステムがどれくらいセキュリティに強いのかを検証できる。

　距離差については、ハッキング信号によって測位した位置が全く見当違いな位置であれば、本物の信号ではないのが明らかなため、測位に使用しないという手が打てる。しかし、距離が近ければ近いほど、それがハッキング信号であるかどうか識別しにくくなるため、距離差のパラメーターを検証することが重要となる。

セキュリティ診断における3つの重要パラメーター

セキュリティテストの例

日本で大きな障害が発生する前に“GNSSセキュリティ”対策を

　以上のような条件やパラメーターを考慮して、さまざまな場面を想定してGNSSハッキングに対するデバイスのチェックを行うことが、GNSSのセキュリティを向上させる鍵となる。イネーブラーはこのようなセキュリティ診断サービスを提供している数少ない企業の1つであり、近年ではGNSSデバイスのメーカーや、GNSSシステムのソリューションを提供している企業などからの問い合わせが増えつつあるという。特に、GNSSのスプーフィングの被害がすでに数多く起きている欧州の企業に対してGNSSのシステムを導入する際には、セキュリティ診断を求められるケースが増えているという。

　「今後は単なる診断だけでなく、黒海で起きたスプーフィングなど、実際に起きた事件と同じシチュエーションでどのような挙動になるかを診断し、地図上で可視化できるソリューションの開発も検討しています。自動運転システムやドローン、IoTデバイスが普及していく中で、今はそのようなデバイスを実装するフェーズなので、それを世に出したときにどのようなトラブルが起きるのかを心配する方は少なくありません。そういう意味では、GNSSのセキュリティを検証する必要性はこれからますます増えていくと思われます。」

　イネーブラーは2018年12月にグループ会社の測位衛星技術株式会社と経営統合を行い、衛星測位関連のビジネスに力を入れている。“GNSSセキュリティ”という言葉を使い始めたのも経営統合したころからで、同様のサービスを提供している企業は日本国内では見当たらないという。

　「“セキュリティ”というとデジタルデータに対するハッキングから守るというイメージが強いので、その言葉をGNSSに使っても、まだピンと来る人は少ないですが、最近ではGNSSに対する“ハッキング”や“アタック”という言い回しは海外でもよく使われるようになってきているので、GNSSセキュリティという言葉を使ったほうが、啓発活動としては有効であると考えています。日本ではまだGNSSへのハッキングによる大きな障害はほとんど起きていないので、それが起きる前に、このGNSSセキュリティという言葉を根付かせて、しっかりと対策を呼び掛けたいと思います。」

　これまではあまり注目されていなかったGNSSのセキュリティ。今後はGNSSの精度だけでなく、セキュリティの面にも注目していかなければならない時代に来ているようだ。