Black Hat USA 2015/DEF CON 23 ラスベガス現地レポート 第3回
ハッカーによる“ドローン乗っ取り”は可能か?「DEF CON 23」レポート
近所のエロ少年が飛ばすドローンを合法的に撃退したい件
2015年08月19日 17時00分更新
“ドローン乗っ取り”の可能性を調査した結果、ある機種ではWi-FiもFTPもTelnetも認証なしの大公開状態で、機体のコントロールを軽く奪えることがわかった。2015年8月、米国ラスベガスで開催された「DEF CON 23」で、セキュリティリサーチャーのマイケル・ロビンソン氏は、そんな調査結果を楽しく報告した。
※編集部注:本稿における「合法」「違法」の表現は、すべて米国内での法令に基づくものです。日本国内での合法性/違法性については保証いたしかねますので、ご留意ください。
軽妙なトークで会場を沸かせたマイケル・ロビンソン氏
ホワイトハッカー色/セキュリティ業界色の強いBlack Hatカンファレンスとは対照的に、DEF CONは知的好奇心のおもむくままに(違法/合法を問わず)ソフトウェアやハードウェアを分解、解析し、裏ワザやセキュリティ上の問題をシェアする、まさに“ハッカーによるハッカーのためのイベント”だ。
「実は最近、近所の少年がカメラ搭載のドローンを手に入れたらしく、昼夜を問わず飛ばしまくってる。夜間飛行の目的は……アレしかない」。あわよくば入浴中の女性の裸を盗撮したいのだろうと、ロビンソン氏は苦々しい表情でこぼす。
だからといって、飛んできたそばからライフルで撃ち落とすわけにもいかない。自宅周辺を“ドローン飛行禁止区域”として宣言できる無料サービス「No Fly Zone」(http://www.noflyzone.org)を使うのも手だが、登録されている区域で撮影された空撮映像も多数見つかるので、現在のところ大きな効果は期待できないようだ。
近所の少年が夜中、ドローンで空撮しようとしているのは……。「マジかよ! エロが見たいならネットでも見とけよ!」(ロビンソン氏)
Wi-FiもFTPもTelnetも、認証なしで接続できてしまうドローン
何とか合法的に、かつ美しくドローンを“退場”させる方法はないものか。そう考えたロビンソン氏は、足掛かりを求めて人気のドローン2機種、「Parrot Bebop Drone」と「DJI Phantom 3」の調査を開始した。
Bebop Droneについては、セキュリティ対策がほぼ皆無であることが判明した。同機は、スマホやタブレットにインストールされたコントローラーアプリ「FreeFlight 3」から、Wi-Fi経由で操縦される。ドローン側が“空飛ぶWi-Fiアクセスポイント”となり、スマホ/タブレットがWi-Fiデバイス(クライアント)として接続するかたちだ。そして、重要なことだが、このWi-Fi通信は暗号化されていない。
小型で安価、人気のホビードローン「Parrot Bebop」
「たとえば、De-Auth攻撃でドローンとメインコントローラー(アプリ)とのセッションを切断し、新たに第三者のコントローラーとのセッションを確立すれば、(本来の操縦者の)通信圏外へとドローンを退場させることも可能だ」
“乗っ取り”のイメージ。BebopのWi-Fiアクセスポイントには複数台のクライアントが接続できるが、操縦できるのは最初にアプリからセッションを確立したコントローラーだけ。そこで正規の操縦者(左のタブレット)とドローンの通信を強引に切断し、すかさず攻撃者(右のスマホ)からコントロールを奪ってしまう
また、Bebop DroneのWi-Fiに接続することで、FTPポートも認証なしで接続できた。空撮した動画などを格納するためのメディア用ディレクトリもすぐに見つかる。「入浴中の女性の盗撮映像を、萎える映像にすり替えることもできる」と、ロビンソン氏は笑う。
さらに、Telnetも認証なしで接続できる。実際、本講演でライブデモを考えていたロビンソン氏がDEF CON会場でドローンを起動したところ、DEF CON参加者が6人、すかさずTelnet接続してきたと明かす。
もう1機種は乗っ取ることができず
もう一方のDJI Phantom 3はどうか。調査した結果、Phantom 3は2つの電波(機体操縦用とカメラ映像伝送用)を使っている。機体のコントロールは古き良きラジコンヘリと同様の仕組みで行われており、Wi-Fi経由では操縦を乗っ取ることができなかった。
価格は10万円を超えるが高機能なドローン、DJI Phantom 3
「(ハッキングの方法として)ほかに考えられるのは、GPSの周波数帯を妨害する方法だ」。事実、GPSテストジェネレーターなどを使ってドローンのGPS通信を妨害したところ、DJI Phantom 3はその場でホバリングを開始した。「さらに、理由は分からないが、アプリへの動画配信で寸断や遅延が増えた」とロビンソン氏は語る。
DJI Phantom 3のアプリ画面。理由は不明だが、GPS通信の妨害を行ったところ、映像の伝送状態が不安定になった
Parrot Bebopについても、GPS通信が妨害され、遮断された途端にドローンは飛行を停止。GPS通信が回復したあとも、自動的に「ホーム」(離陸地点)に戻る機能は実行できなかったという。
もっとも、GPS通信の妨害行為は違法だ。ロビンソン氏は今回の実験にあたり、弁護士含め多くの人からアドバイスをもらい、極力適切な形で1度きりの実験を行っている。
なお、多くのセキュリティホールを抱えているParrot Bebopについて、ロビンソン氏はParrot側に報告したと語る。「ただ、修正の連絡は今のところない」。
今回のロビンソン氏による報告は、単に「あるドローン製品のセキュリティ問題」を指摘するものだ。だが同時に、IoT製品の開発において「セキュリティを考慮せず、無防備なネット接続機能を追加してしまうこと」のリスクを考えさせる、格好の事例でもあるだろう。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
第2回
TECH
「ハッカーが30m圏内にいる場合は利用を控えてください」 -
第1回
TECH
「Black Hat 2015」でAndroidの新たな脆弱性が報告される -
TECH
Black Hat USA 2015/DEF CON 23 ラスベガス現地レポート - この連載の一覧へ
