SCAN DISPATCH ：補助金目当、脆弱性続出のスマートメータ

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　通信機能を持ち電気機器の制御等を行う、進化した電力メータ「スマートメータ」は、米カリフォルニア州サンディエゴ市のシンクタンク、ON World社の報告書「Global Smart Metering」によると「法案、オープン・スタンダード、そして多額の支援金のおかげで、今後5年間に世界各国で1億機が導入される」と予想されている。

　米国ではUS Smart Grid Interoperability Frameworkプロジェクトと、 IEEEP2030：スマートグリッドスタンダード、ヨーロッパではEuropean Commissionのスマートグリッドスタンダードなどによって、現在、開発はオープン・スタンダードとして行われている。IPアーキテクチャをサポートする機種も開発されており、Cisco、GE、Googleなどの企業が参加したことで、メータのさらなるスマート化が加速している。IPアーキテクチャだけではなく、今後導入される機種の半数はHAN（Home Area Network）のゲートウェイ機能が搭載されているとON World社のレポートは指摘している。

　電気メータが、PCやルーターなどの情報機器と同様の機能を搭載するなら、そのセキュリティも、少なくとも家庭用PCと同程度の水準が必要なはずだ。だが、現実はどうだろうか？

　8月に行われたコンピュータ・セキュリティのコンファレンス、Black Hatでも、スマートメータのセキュリティは注目を浴びていた。「Recoverable Advanced Metering Infrastructure」というタイトルで、スマートメータへのゼロデイ攻撃を発表した Mike Davis氏にインタビューしたので紹介したい。

　Davis氏によると、現在20〜30社がスマートメータの開発を行っているらしいが、多くはそのバックグランドがメカニカル・メータやパワー・ステーションのスイッチなどの企業で、情報機器産業からの参入は上記のCiscoやGoogleなど限られた数になっている。もちろん、情報機器の経験が無い企業は、情報エンジニアを雇って対応はしているが、テクノロジーの進化が激しく、対応しきれていないというのが現状だそうだ。「最初はセキュリティを考えなくてもいいような電力消費量を送信するだけだったメータだが、その後、双方向通信機能が加えられ、TCP/IP、コンプレッショナル・アルゴリズム、暗号化などの機能が増え、攻撃表面がどんどんと広がっている」と、Davis氏。

　さて、スマートメータの機能の中で、セキュリティの観点から問題となってくるものに、「リモート・ディスコネクト」がある。これは、電気料金未払いであったり、あるいは利用者が引っ越しをした場合などに、リモートで電気の供給を停止できる機能だ。Davis氏は実際に、eBayで買ったスマートメータ数種をリバースエンジニアリングして、これを「乗っ取り」、この「リモート・ディスコネクト」を任意に操作することができた、と報告している。

　彼が調査したメータの中でさらに「悪用」の余地があるものは、無線でのP2Pコミュニケーションだ。無線のスタンダード自体は企業独自のものだが、ZigBeeなどのHANに使われているものがそのままメータ同士のP2Pに導入されているものもある。

　ひとたび、人家やオフィスに導入されたスマートメータの一つに、マルウェアが注入され、それがP2Pで感染していくシナリオは、まるでパニック映画の脚本のようだ。Davis氏は実際に、ある地域の2万2千件の住所リストを購入、番地とGPSのコーディネートでバーチャルにスマートメータを導入し、無線の受信範囲やパケット・コリジョンなどの変数を入力し、メータが一機、マルウェアに感染した場合のシミュレーションを行った。Google Mapの上でのシミュレーションでは、24時間で2万2千件のうち1万5千件が汚染し、簡単に広がっていった。

　このシミュレーションはコミュニケーションに暗号を使っていないものを想定しているが、同Black Hat コンファレンスでは、Travis Goodspeed氏が、第二世代のZigBeeのチップのルートキットと脆弱性を発表しており、ZigBeeであっても安全とは言えない。

　Davis氏は、マルウェアの汚染の状態をシミュレーションしただけで、このマルウェアが悪意のあるマルウェアで、例えば電力供給をストップしたりなどの攻撃を行った場合のシミュレーションは行っておらず、実際に感染を拡大するマルウェアが悪意のある操作を行ったシチュエーションを考えると、パニック映画のテロ行為そのものだろう。なぜなら、例えばリモート・ディスコネクトの機能だけを使って多数のメータで電力供給をストップ、それを再開しただけでも、電力供給グリッド自体の安定度に大きな被害を与えられるからだ。

　また今後、スマート冷蔵庫やスマートACなどのアプラインスと、スマートメータがコミュニケーションをするようになった場合、攻撃方法はさらに増加するだけだ。

　現行のメータでは、上記のようなマルウェアの汚染を食い止める機能は…

【執筆：米国　笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw