車と衛星のシステム構成からみる攻撃ポイントとその対策
ここからは具体的に人工衛星で考えられる攻撃のポイントについて考えていきます。
自動車と人工衛星のシステム構成
まずは、自動車と人工衛星のシステム構成を比較してみたいと思います。自動車のシステム構成の一例を以下に示します。
システム構成図を見ると、右下の方に従来からの自動車の基本的な部分である、エンジンやモーターなどの駆動系やそれらを動かす電源系、車体/車内の制御部が配置されています。
また図の上部には、近年の技術の発達に伴って、危険を察知し安全を守るための外部センサ系として、GPSやジャイロ、カメラ、LIDARなどが搭載されています。
さらに、図の右上には外部の機器とつながるためのWiFiやUSBなどの外部インターフェースが用意されています。
また、全ての系は中央の「Central Gateway」に接続され、左側の通信部を介して、車外と通信を行う構成になっています。
一方の人工衛星のシステム構成は以下の通りです。
人工衛星でも同じように、中央のDHU(データハンドリングユニット)を介して、全ての系がつながっています。
人工衛星でも自動車と同様、地上と通信を行うための通信系や衛星内部の機器を動かすための電源系を持ちます。
図の右側にある「姿勢制御系」は一見すると、自動車とは異なるように見えますが、下部にあるタンクやスラスタは衛星の向きや位置を変えるための制御装置であり、自動車でいうところの「駆動系」や「車体制御系」に相当します。
また、上部にあるジャイロは衛星の回転を把握するためのもので、「SSAS」は太陽光の向きから衛星の姿勢を判断するセンサであり、この部分は自動車の「外部センサ系」に相当すると考えられます。
このように、自動車と人工衛星はシステム構成としてとても似ています。そこで、自動車でのサイバーセキュリティの攻撃ポイントの考え方を、人工衛星にも転用することで、人工衛星におけるサイバーセキュリティの攻撃ポイントを考えてみることにします。
なお、今回の検討はあくまで宙畑編集部による考察であり、全てのリスクを考慮できているわけではないことをご了承ください。
通信インターフェースを使った攻撃
自動車における攻撃でまず着目するのは通信インターフェースです。
悪意のある信号を、通信インターフェースを介してシステム内に送り込むことで、システムに誤った挙動をさせることが可能となります。
通信のインターフェースの攻撃では、例えば以下のようなケースが考えられます。
地上局と偽ってコマンド送信
人工衛星は常に、地上からコマンドを受けて、その指示をもとにしてミッションを実施しています。
衛星が意図していないコマンドを受けると誤動作の危険があるため、衛星にコマンドを送信するための周波数は一般的には各企業・機関の中で秘匿情報として取り扱われ、暗号化された情報がやり取りされます。
なんらかの方法で、上記の情報を得ることができれば、本来の地上局と偽って、人工衛星に向かって誤ったコマンドを送付することができます。
地上局自体をハッキングしてコマンド送信
もしくは、本来の地上局自体をハッキングすることで、狙った衛星に向かってコマンドを送るという方法も考えられます。
地上局は衛星との通信機会を多くするため世界中にあり、衛星運用者は自社からインターネットや専用線で地上局にアクセスします。この部分をハッキングすることで、本来の地上局をハッカーの思うままに操ることができるのです。
通信衛星が仲介する通信の中にウイルスを仕込む
上記、2ケースは、衛星と通信する地上局は、衛星を運用する事業者の想定でした。それ以外のケースとして、通信衛星がサービスとして提供する衛星通信の中にウイルスを仕込むということも考えられます。
この場合、通信衛星自体が影響を受けることはないと考えられますが、通信の受け手にウイルスがばらまかれると考えられます。
センサインタフェースを使った攻撃
サイバー攻撃のもう一つの入口がセンサです。センサが取得するインプットに細工をすることで、システムに本来とるべきではない挙動を撮らせることができます。
GPSのジャミング(敵対的信号妨害)
ジャミングとは、通信を阻止するために、通信が行われている周波数に妨害信号(ノイズ等)を送る行為を言います。
GPS妨害装置は、自動車のGPSによる追跡を遮断したいなどの意図で市場に一般的に出回っており、使用することでGPS電波受信障害を起こすことができます。GPSは電波が弱く、小さな出力でも妨害が可能なため、テロ等による妨害や悪意のあるいたずらによって被害を受けることがあります。
実際に地上で起きたジャミングの例としては、2010年8月23~25日の間韓国でのGPS電波受信障害があります。韓国はこの原因として、GPS妨害能力がある車載装置を北朝鮮が使用したと判断しています。
人工衛星にもGPSは搭載されているため、妨害信号が送られることで、地上の装置と同様にGPS受信障害が発生し、衛星自身の場所や自国が分からなくなるといったトラブルに発展する可能性があります。
GPS以外のセンサ
人工衛星にはGPS以外にも様々なセンサを搭載しています。
例えば、太陽センサや恒星センサは、太陽光の方向や星の位置を頼りに衛星の姿勢を把握するセンサのため、衛星に搭載されたセンサに偽の光を入れたり、真っ暗にしてしまえば、衛星は自身がどちらを向いているのか判断できなくなってしまいます。
衛星が自身の姿勢を見失うと、電力を確保するための太陽電池パネルを太陽方向に向けられなくなり、電力が枯渇し、衛星は動かなくなってしまいます。
他にも、地球の磁力を測定して、方位磁針のように向きを知る方法もあり、こちらのセンサも衛星に大きな磁石を近づけると、向きが分からなくなってしまいます。
実際に、宇宙空間で活動する衛星にこのような攻撃を仕掛ける場合、地上からレーザー兵器を使用するようです。
さらに、近年ではASAT(Anti Satellite)と呼ばれる衛星に近づいて、衛星を破壊するための実験を中国やロシアが行うなど、絶対にあり得ない世界でもなくなってきています。
加えて、軌道上サービスと呼ばれる、軌道上を周回する衛星に対して、燃料補給や軌道変更などのサービスを提供する宇宙ビジネスも計画されており、こちらは平和利用であるものの、サービス提供側の衛星がハッキングされれば、サービスを受ける側の衛星の脅威になることもあるかもしれません。
軌道上サービスミッションに係る安全基準(JERG-2-026)(2019年12月、宇宙航空研究開発機構)
サプライチェーンマネジメント
前章では、すでに製造された製品に対して、外部からどのような攻撃が考えられるかについて考察しました。昨今のサイバー攻撃は、市場出荷後の製品に対してだけではなく、標的企業が利用するソフトウェアや製品への不正なプログラムの埋め込み等の、サプライチェーンを狙った攻撃が増加しています。
自動車業界におけるサプライチェーンマネジメント
自動車業界もその例外ではなく、サプライチェーン全体のセキュリティの向上を優先課題ととらえてお り、中小企業を含めた全ての企業に対してガイドラインが発行されています。
また、自動車における車載ソフトウェアやネットワークの標準化を進める一般社団法人JASPARの情報セキュリティ推進WGでもセキュリティ対策の指針に検討が進められており、「サプライチェーンソフトウェア品質ガイドVer.1.0」として 2022年3月に発行される予定となっています。
人工衛星におけるサプライチェーンマネジメント
車と同様のことは衛星でも考えられます。
人工衛星のサプライチェーンは車ほど分業化は進んでおらず、関連する企業数は多くはないと考えられますが、それでもサプライチェーンの中で、なんらかの脅威が混入する可能性はあり得ます。
従来はソフトウェアまで含めて1機ずつオーダーメイドでしたが、近年は衛星自体の数が多くなり、標準化が進められ、衛星機能の一部分だけを提供するベンチャーなども出始めています。
このような世界が広がっていくと、パソコンのパーツのように様々な企業から機能を寄せ集めて衛星を作れるようになるため、その製造工程の中でなんらかのリスクが埋め込まれる可能性も高まっていくことになります。
