アメリカのIT業界を渡り歩いたビジネスコンサルタントがユニークな切り口で新時代のIT市場を分析

Black Hat Conferenceで話題になりつつあるスマートグリッドのセキュリティの問題

»

Black Hat Conference、というのはアメリカをはじめ、様々な場所で開催される、ITセキュリティ専門のコンファレンスとして知られている。 ハッカーが大勢集まって、IT業界の様々な技術のセキュリティの脆弱性を指摘して、実際にハッキングする方法まで公開してしまうイベントとしてもよく知られており、過去にもWindow OS、等のセキュリティ問題を多く指摘し、そのたびに話題を集めている。


いよいよ、スマートグリッドがターゲットになり、今年の7月後半に開催されたLas Vegasのイベントに於いては、いよいよ、幾つかのスマートグリッド専門のセッション、特にスマートメー タに関する題材が取り上げられ始めた。


おおかたの予想通り、スマートグリッドのセキュリティに対してはかなり厳しい意見が多く登場し、今後ハッカーの格好の攻撃対象になりうる、という結論になっている。

攻撃の対象は、主としてSCADA(Supervisory Control and Data Acquisition)という各家庭から電力消費情報を収集して分析するネットワークシステムや、町中に張り巡らされるAMI(Advanced Metering Infrastructure)による無線通信ネットワークである。 

こういったネットワークインフラに不正に入り込み、電気料金を不正に改ざんしたり、個人情報を盗んだり、システムを破壊したり、電力供給を停止するなどのテロ行為、等多方面の障害の可能性を秘めている。  具体的なハッキングの方法は公表されていないが、既に幾つかの手法が確立されている、という内容のプレゼンテーションである。


スマートグリッドのコンセプトは壮大なものであり、複数の業界が協業する中で、長い時間をかけて市場に展開するものであるため、あまり慌てて市場に展開する性格のものではない、という指摘がされる中、セキュリティの脆弱性の多くは、急いで導入したがために、十分にセキュリティの問題について分析/対策を施さないまま、実装してしまうという事が原因であることが多い、と指摘している。


スマートグリッドの最初の段階は、各家庭にスマートメータを設置することから始まる、という認識はおおよそ共通している。 北米市場で心配されているのは、そのスマートメータの導入の段階において、政府の多額な助成金の影響も受けて、かなり急ぎで展開されている、という状況である。  一定期間内に実装しないと国からの助成金がもらえない、という事情があるからである。


まだ、セキュリティの穴がどれだけあるのか、どのような障害が想定されるのか、どの程度の労力で対策を施すことが出来るのか、十分に検証されていない、という点がBlack Hatに出席しているセキュリティの専門家の共通の意見である。


多くのスマートメータは、何らかのプロトコルに準拠した無線ネットワークを採用している。 このネットワーク機器の中には、容易にハイジャックすることが出来るものもある、という事はすでに証明されている。 その一例として、昨年、IOActive社のSenior Security Consultantである、Mike Davis氏がスマートメータ経由で各家庭に自動的に広がることが出来るウィルスソフトウェアを開発している。このソフトウェアを改造して、家庭の電源を落とす機能を実装することも可能である。


Red Tiger Security社のFounder件Princiap ConsultantであるJonathan Pollet氏は、このネットワークを経由してかなり規模の大きい電力障害を起こすことが出来る方法を編み出すハッカーが登場する可能性はかなり高い、と指摘している。  さらに家庭に住むコンシューマでさえも、スマートメータをソフトウェア的にハッキングして、電気料金を不正に下げることを考えだす人も出てくる可能性も高い、としている。


電力会社が設置するスマートメータは設置してからの寿命を平均的に15〜20年、と見ている。  一回設置されて稼動状態に入ると、セキュリティのパッチを施す等のメンテナンス作業は困難になる可能性があるため、運用面を十分に検討した上で導入の計画を立てる必要がある、とも指摘している。

スマートグリッドは、新しいインターネットの登場に等しい、と言及する人がいる。 むしろ、全世界の家庭が一つのネットワークで繋がるようになったら、インターネットより大きい公共ネットワークの登場、と見ている人も中に入る状況である。  果たしてどれだけの規模になるのか、まだ良く見えないところもあるが、インターネットと同様に、セキュリティの問題、というものについては早い段階で、真剣な取り組みをする必要がある、というのははっきりしているようにも感じる。 

インターネットのセキュリティで学んだ事を上手に適用する事が近道なのではないか、と提唱したい。 

http://www.technologyreview.com/computing/25920/?a=f

Comment(0)

コメント

コメントを投稿する