インタビュー「飛行機ハッカー」クリス・ロバーツは、輸送セキュリティの嘆かわしい状態を改善するために各国がメーカーに圧力をかけるよう呼びかけた。
自動車は車輪のついたコンピューターに変わり、飛行機は空飛ぶデータセンターになりましたが、こうしたパワーと接続性の向上は、主に適切なセキュリティ制御を設計に組み込むことなく実現しました。
イスラエルで開催された最近のサイバーウィーク・セキュリティカンファレンスでは、交通セキュリティの向上が主要なテーマでした。交通サイバーセキュリティに焦点を当てた1日イベント「スピード・オブ・ライト」では、ロバーツ氏が司会を務めました。
エル・レグは、ハイランドゲームズの参加者として名高い人物に、会議で会談し、交通システムへの脅威とベンダーの対応について現状報告を聞きました。進展は一様ではなく、この分野での成功は、イスラエルのような国々が積極的に問題に取り組んでいることと、賢明なベンダーの対応の双方によるところが大きいのです。
連邦捜査官:男が助手席から飛行機の操縦装置をハッキング
続きを読む
「イスラエルはここに来た。数社だけではない。イスラエルは『我々は国家として、国として、(交通安全について)理解する必要がある』と言っている」とロバーツ氏は述べた。「我々は学ぶ必要がある」
「他の地域では、企業の問題です。GMは素晴らしい。フォードも良い。ドイツの企業の中には良いところもあります。フィアット・クライスラー・グループには、やるべきことが山ほどあります。」
ロバーツ氏は、サイバーセキュリティリスクの理解において、業界によってその差が顕著だと主張した。例えば、自動車業界は航空業界よりもサイバーセキュリティリスクへの意識が高い。
「ボーイングは現実を否定している。エアバスはどちらかというと中立的だ。他の業界の方がまだマシなところもある。」
エル・レグ社は、ロバーツ氏が挙げたすべての企業に対し、同氏の発言に対する反論の機会を与えた。しかし、いずれの企業からもまだ返答がない。
「米国における課題は、DHS(国土安全保障省)が(業界に対し)『問題がある』と言っていることです」とロバーツ氏はEl Regに語った。「(他の規制当局は)耳を傾ける必要があると言っています。彼らも耳を傾け始めており、実際にいくつかの対策を講じています。」
「しかし、基本的に24時間365日脅威にさらされている国(イスラエル)が、国民を輸送するシステムのセキュリティ状況を把握したいと言っているのは、非常に大きなメッセージです。状況は大きく変わります。」
ロバーツ氏は、国は製造業者に圧力をかけることができると述べた。問題は、他の政府がイスラエルの例にどう従うかだ。
ロバーツ氏は、一部の欧州当局はサイバーセキュリティの改善を積極的に推進しているが、他の地域ではまだ対策が進んでいないと述べた。
シュナイアー氏、「パーフェクトストーム」を警告:テクノロジーは自律的になり、セキュリティはゴミ
続きを読む
「ロッテルダム港は、海運をサイバーセキュリティ上のリスクとしてより積極的に検討し始めており、それが推進され始めるだろう。」
「一方、アメリカでは、全米鉄道協会(ARA)は介入はできない、できるのは協議を仲介することだけだと言っています。規制当局は、鉄道協会の指示に従わなければならない、規制当局が関与する必要があると言っています。さあ、みんな、責任転嫁はやめなさい。これは私たち全員が解決しなければならない問題です。」
ロバーツ氏は、交通安全上の脅威は全体として「大混乱」に陥っていると語った。
DHSとNCCIC(国家サイバーセキュリティおよび通信統合センター)は、地上管制、衛星管制、その他のテレメトリなど航空セキュリティに関する警告を発しています。
「車は他の車よりも優れている。まだやるべきことがたくさんあるので、それは恐ろしいことだ」とロバーツ氏は語った。「明らかにメディアで取り上げられることが多くなった」
「(ユーザーとして)車のセキュリティを向上させるためにできることはほとんどありません。唯一できることは、毎月マイクロソフトのパッチチューズデー(フォードやGMからのアップデート)のためにガレージに戻ることだけです。」
「パッチを貼りに月に一度来た方がいいですよ。そうしないと、このパッチは機能しなくなりますから。」
無線アップデートはどうでしょうか?ロバーツ氏は、無線アップデートは必ずしも信頼できるとは限らないと警告しました。
「電波の届かない場所にいる場合はどうなるでしょうか? あるいは、電波の届かない発展途上国にいる場合はどうなるでしょうか? 中東や極東、4Gや5Gのサービスエリアがない国に売られるトヨタ車はどうなるでしょうか? また、国を移動した場合はどうなるでしょうか?」
ロバーツ一家は、現代の車とクラシックカーをミックスして所有しています。ロバーツ氏は、サイバーセキュリティへの意識が購入の決定にはあまり影響していないものの、車の使い方には影響を与えていると述べています。
「大型トラックにネットワークスニファーを取り付けて、何を共有しているのか調べてみた。なんと!GPS、テレメトリ、追跡情報。このトラックが共有しているデータは山ほどあるんだ。」
「オフにすると、保証が無効になったり、セキュリティ制御を回避したりする可能性があります」とロバーツ氏は述べ、車が生成するデータの所有権が誰にあるかという問題もあると付け加えた。「それは私を守るためなのか、それとも監視するためなのか?」と彼は考え込んだ。
一部の保険会社は、テレメトリー装置やセンサーの測定値に基づいて、安全運転者向けに保険料を安く設定している。ロバーツ氏はプライバシー保護の観点から、これに断固反対している。「保険なんてどうでもいい。私にとって、保険料が5%割引になるからといって、保険会社から追跡装置を受け取る価値はない。」
3年前、FBIはロバーツ氏を、機内エンターテイメントシステムを介してユナイテッド航空の機内操縦装置に不正侵入した疑いで尋問した。ロバーツ氏は2015年4月、ニューヨーク州シラキュース行きのユナイテッド航空の機内で、機内ネットワークのセキュリティについてツイートしていた。着陸時に尋問を受け、機器の一部が一時的に押収された。
この事件後、ロバーツ氏の訴追は行われず、情報セキュリティコミュニティにおける彼の知名度は高まりました。仲間のハッカーたちはすぐに彼を擁護し、それ以来、彼は航空業界の様々な関係者から信頼できるパートナー、そして専門コンサルタントとして信頼を得ています。しかし、他の人々は彼の研究を受け入れることに依然として消極的であるようです。®
