発電所を乗っ取るようなハッキングは可能か
――スパイ映画のような話になりますが、車を乗っ取ったり、最新の発電所を乗っ取ったりするハッキングも可能なんですか。
林 これまたサイバーと電子戦の境になっていて、例えば日本の電力だと「災害に強い通信インフラを作る」ということで、光ファイバーに加えてマイクロ波無線を使っているんですね。
そういうのが使っている周波数帯って昭和30年代くらいからある6.5GHzとか、もう少し高い12GHzあたりです。なので、そのあたりの周波数を使って、攻撃者が何か無線機器を手に入れて、制御に使われるプロトコルをしゃべれるようにできれば、オンオフの操作らしいことが出来たら怖いなと。
ただし、市販のプログラム可能な無線機は100万円出しても6GHzぐらいまでしか通信できない。6.5GHzになると、そのへんの所謂ソフトウェア無線では対応できない帯域になっているんですね。なので、カジュアルなハッカーでは難しいかなと。
――国営ハッカーではどうでしょう?
林 ハードウェア含めて機材を調達できるような組織力があると、そういう活動もできるんじゃないかなと思いますね。
あと発電所界隈について言うと、東南アジアなどに日本企業が送配電システムの技術を輸出しているんです。これまで日本語による解かり難さや独自プロトコルで守られていた部分が、輸出とか技術移転によって現地で解析されて、その結果、日本への攻撃に利用されるみたいなことはあるんじゃないのかなと。
――インフラ輸出をやっていけばやっていくほど脆弱性が増えるという話。そうですよね、わざわざ現地の人のために翻訳してあげて……。
林 ツール化のチャンスを与えるというのはありますね。
あるビルのエレベーターは、十数秒で止まってしまった
――戦争の参加者も手法も変わってきている中で、サイバー空間でも戦場が広がっています。
林 社会インフラの動作を停止させることと、悪用することって技術にすごい差があるんですよ。停止させるだけならデータを大量に送り付けて動作不能に陥るとかできると思うんですけれど、悪用するというのはロジックとか知らないといけないし、日本語の仕様書とか何万ページとか読まないといけない。そこの壁はすごく高いと思いますね。
――逆に言えば、停止するのは比較的簡単ですか? 例えば日中で紛争になったときにATMやクレジットカードを決済不能にできますか?
林 接続ポイントさえあれば、というところですね。
南 僕の仲間が某著名な大きなビルに依頼を受けて、システムがどれぐらい脆弱かというテストをやりました。そしたら、十数秒でエレベーターを止めてしまった。
今の技術、特にインターネットはすごく安価なんですよ。だから、すぐに乗っ取れちゃう。
問題は、ネットにつながっていない場合、Windowsやソフトウェアのアップデートができなくなって、昔の脆弱性がそのまま残っているケースが結構多いんですよね。某ビルはまさにそういうケースで、すごく簡単な脆弱性があって、それをすぐ見つけたので簡単にエレベーターを止められたのです。
――政府機関も古いビルやエレベーターが多い。
南 極端に古ければ、むしろ安心かも(笑)。
