輸送分野のシステムに潜む脆弱性とサイバー攻撃

「公共機関のサイバー対策」第10回 - ATCやGPSなど鉄道や航空などの輸送システムを狙ったサイバー攻撃について解説し、安全で円滑な輸送サービスについて考察する。

ATCやGPSなど鉄道や航空などの輸送システムを狙ったサイバー攻撃について解説し、安全で円滑な輸送サービスについて考察する。

公共交通機関やそれを取り巻く施設・設備に対するサイバー攻撃が起きた場合は、社会的な大混乱や人命への影響が想定される。
鉄道や空港を含む航空分野のシステムは比較的外部と遮断されていることから、攻撃を受けにくいとされる。しかし、水道・電力・ガスなどの公共サービスと同様に汎用技術を使った制御系システムが採用される場合が多い。鉄道では列車の車載システム、信号制御、線路の切り替えを管理する転轍(てんてつ)機、運行管理システム、電力管理システムなどがある。航空では主に空港施設においてBA(ビルオートメーション)システムが採用されている。後者の空港施設のBAは、中央監視システムが空調・電力管理・防災・熱源などのエネルギー管理系サブシステムやビル内設備の国際的な通信規格「BACnet」などの汎用的な統合ネットワークに接続され、集中監視制御されている。このネットワークに侵入できれば、通信データの改ざんなどにより、いとも簡単に空調・照明設備を停止させることや、誤作動を引き起こすことが可能となる。

これらの制御系システムを標的とした攻撃が顕在化した事案はまだ極めて少ない。しかし某国の偵察総局は近接国の地下鉄事業者に納める自動列車制御装置(ATC)の部品メーカーを標的にした。この事案はATC装置の通信周波数や通信プロトコル(手順)のハッキングが狙いと分析され、万が一ハッキングされれば、速度制御の誤作動を誘発することとなる。
航空機そのものも脆弱性がないとは言い切れない。航空機が採用する衛星通信は電波が弱く、テロなどの妨害や悪意あるいたずらから被害を受ける可能性がある。また、GPS(全地球測位システム)信号の周波数帯域が狭いことから攻撃対象を特定し易く、信号を傍受し偽の情報を送る「GPSスプーフィング」行為も可能である。最悪の場合には、偽の位置情報から航空機同士の衝突や墜落などのリスクをはらんでいる。

安全で円滑な輸送サービスを提供するには、攻撃シナリオを想定し、リスクの発生確率や影響度を分析、その結果に基づいて対策の優先順位を決定した上で実施する必要がある。技術的な防護策を検討し実装するには時間が限られる。例外的な事象をいかに早期に検知できるか、事案が発生した場合に輸送サービスへの影響をどれだけ緩和させるかといった観点で対策を講じなければならない。

サイバー攻撃対策の考え方

サイバー攻撃対策の考え方

日経産業新聞 2019年5月8日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

執筆者

KPMGコンサルティング
マネジャー 新井 保廣

公共機関のサイバー対策

お問合せ