機内からのハッキングで操縦システムが乗っ取られる!?
少し前になりますが、若者などがツイッターで自分の問題行動を誇らしげに拡散する行為が話題となったことがあります。同じように海外でも、ツイッターによる自身の行動の拡散によって問題が起きているようです。
2015年春、あるハッカーがアメリカのユナイテッド航空から搭乗拒否されたという話をご存知でしょうか?
このハッカーの名前はクリス・ロバーツ氏、2015年4月15日にユナイテッド機搭乗中に機内エンターテインメントシステムに侵入、「今度は、そこから航空機自体のエンジン警告表示装置に入って、酸素マスクが出てくるように操作してみようか」とツイートしたことが発端となりました。
ロバーツ氏はシカゴからシラキュースに向かうユナイテッド便に搭乗していましたが、このツイッターの内容が拡散され、シラキュース空港で待ち構えていたFBI職員に連行されたとのことです。
彼が所有する数台のコンピュータと特製のイーサーネットケーブルなどが押収され、数時間にわたる尋問が行われ、シラキュースから搭乗を予定していた次の便については搭乗拒否されたということです。
ロバーツ氏は、座席下に設置されているネットワーク接続ポイントのボックスのカバーを開け、そこに特製のコネクターをつけたイーサネットケーブルを接続し、自分のコンピュータからエンターテインメントシステムへ侵入したらしいということ。
FBIはこの件が発覚した後、各航空会社に対し、機内で怪しい行動をしてネットワークに侵入しようとしている人物がいないかどうか十分注意するよう呼びかけています。
ところが最近になってわかったことは、ロバーツ氏はその時報じられたよりももっと真剣に航空機のネットワークとセキュリティシステムをテストしていたらしいのです。
彼は2011年から2014年までに、なんと15回以上も飛行中に機内からエンターテインメントシステムに侵入し、その中で操縦システムにまで入り込み、飛行機の高度を若干変更することに成功したこともあるというのです。
事件発覚後、雑誌『ワイアード』が行ったロバーツ氏のインタビューで、実際の操縦システムではなくシミュレーション・システムで操作を行ったと語っていたようですが、現実には本当に飛行している航空機の機内から操縦操作をしたらしいのです。
FBIもロバーツ氏には操縦システムを操作するだけの能力と意志があるとして警戒しているようですが、 ここで明確にすべきは、ロバーツ氏はテロリストではなく生粋のハッカーであるということ。
彼はその道では著名なハッカーであり、セキュリティホールを見つけて悪事を働くようなタイプではなく、セキュリティホールを見つけるために意欲を燃やすような「良心的ハッカー」といわれています。
それでもセキュリティ業界からは、多くの乗客を危険に晒すようなテストを行うべきではないという非難の声が上がっています。
そもそも今回の事象は、航空会社や航空機メーカー、機内エンターテインメントシステムを提供している会社にとっては忌々しき事態です。
ロバーツ氏は6年前に航空機のセキュリティに関心を持ち、調査を始めたそうですが、驚くべきことに飛行機の操縦マニュアルと航空機の配線ダイヤグラムは簡単に手に入るようになっているらしいのです。
そして、それらのマニュアルをよく研究するうちに、機内エンターテインメントシステムと機内の衛星電話システム、機内管理システム、操縦システムが芋づる式につながっているのを発見したというから驚き。
ロバーツ氏は、この事態をセキュリティ会議において数回にわたって発表、航空機メーカーの大手であるアメリカのボーイング社とフランスのエアバス社、また機内エンターテインメントシステムを提供している会社にも忠告したとのことですが、取り合ってもらえなかったようです。
ユナイテッド航空では、これまで機内エンターテインメントシステムと操縦システムは別々で、仮にシステムがハッキングされても機長が承認しない限り、航路や飛行の変更は不可能としてきました。
しかしながら、ここへ来て今回の事象に危機感を覚えたのか「バグ発見懸賞金プログラム」を発表しています。
ただし、この「バグ発見懸賞金プログラム」はユナイテッド航空のウェブサイトやモバイルサイトからバグを見つけてほしいというもので、航空料金を安く表示させたりするようなセキュリティホールを見つけると懸賞金100万マイルがもらえるというもので、操縦システムなどのセンシティブなシステムに関連するものではなさそうです。
ITの世界は日進月歩であり、航空会社やシステムを構築する側の会社では発見できない抜け穴も存在すると想定されます。
であれば、航空会社や航空機メーカーが世界の良識あるハッカーや研究室などに広く呼びかけ、セキュリティホールを見つけてもらうようなコンテストなどを行う方がはるかに効率も良く、完全に近いシステム構築ができるのではないでしょうか。
さて、今回の件を引き起こしたロバーツ氏ですが、他社のシステムに侵入したことで罪に問われる可能性はあるそうです。
しかし、インターネット時代の人権や自由を守るために活動するNPO法人であるEFF(エレクトロニクス・フロンティア財団)が弁護にあたるとのことで、彼には頼もしい後ろ盾がいるようです。
