スプーフィングの脅威を知ろう
スマートフォンを使っていると、さまざまな状況でGPSを利用していることがわかる。地図アプリで自分の現在位置を把握するのはもちろんのこと、カメラで撮影した写真の撮影場所を登録したり、ゲームで利用したりと、位置情報を取得するサービスやアプリは一般的なものだ。
GPSとは、グローバル・ポジショニング・システムのこと。アメリカ合衆国によって運用される、衛星測位システム(地球上の現在位置を測定するためのシステム)だ。
GPS衛星からの信号には、衛星に搭載された原子時計からの時刻のデータ、衛星の天体暦の情報などが含まれている。この電波を受信して発信時刻を測定し、発信と受信との時刻差に電波の伝播速度を掛けることによって、その衛星からの距離がわかるようになっている。
そんなGPSデバイスに対する攻撃がある。信号を遮断する妨害攻撃だろうか? もちろんそれも危険だが、覚えておきたいのは「GPSスプーフィング」とよばれるもの。
スプーフィング(spoofing)とは、不正なデータを用いることにより、攻撃者や攻撃用プログラムを、別の人物やプログラムに見せかけることを利用した攻撃だ。
妨害されてGPSが使えなくなるほうが危険では? と思うかもしれない。しかし、スプーフィングの場合、ハッカーは使い手が気付かないうちにナビゲーションシステムに干渉できる。
偽のGPSフィードを送られることにより、車のドライバー、船の航海士などは、気づかないうちにコースから外れてしまう可能性がある。運輸関係の企業、タクシーサービス、建設会社などにとっては深刻な問題だ。
個人ユーザーの場合はどうだろうか。たとえば、位置情報に基づいた出会い系アプリで考えてみよう。これらのアプリはGPSテクノロジーを使用して、ユーザーが場所によって相手を識別できるようになっている。
ここで、悪意のある犯罪者がGPSスプーフィングを使用すると、自分の場所を偽ったり、相手を危険な場所に誘導したりできる。ただGPSを妨害するよりも、危険度の高い行為に使われるおそれがある。
プライバシーを守るスプーフィングもある
とはいえ、GPSスプーフィングは悪いことばかりに使われるわけではない。GPSの追跡と位置情報の共有は、同時に、他人のプライバシーが筒抜けになる恐れもある。
そのため、セキュリティベンダーなどは、GPSスプーフィングを使用して、自分の位置を隠し、プライバシーを保護することが可能になるソリューションを用意している。
悪意のあるGPSスプーフィングへの対策としてはなにがあるだろうか。主に企業では、積極的に必要とされていないときは、GPS対応機器をオフラインにすることを検討してもよいだろう。これにより、攻撃の影響を受けにくくなるからだ。
個人では、悪意ある攻撃に遭わないように、2要素認証、ネットワークファイアウォール、定期的なアプリやOSのアップデート、パスワードの変更などの保護対策をしておこう。セキュリティ ソフトウェアを使用し、デバイスや個人情報をの脅威から保護するのも大事だ。
日常的に使うGPSだからこそ、それを悪用する攻撃があることを知っておきたい。今回は、McAfee Blogの「GPSスプーフィングとは? そのリスクと対策」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
GPSスプーフィングとは? そのリスクと対策:McAfee Blog
現在、全地球測位システム(GPS)の技術は、旅行者がポイントAからポイントBに効率的に移動するための一般的な方法に使用されています。GPSは企業や個人に比類のない機会を提供しますが、このテクノロジーの使用にはいくつかの欠点があります。GPSデバイスは、GPSスプーフィングを介したサイバー攻撃に対して脆弱である可能性があるのです。
GPSスプーフィングとは
グローバルナビゲーション衛星システム(GNSS)は、多くの先進国で長年使用されており、GPSはそれらのシステムのひとつにすぎません。GPSのなりすましは、誰かが無線送信機を使用して偽のGPS信号を受信機のアンテナに送信し、正当なGPS衛星信号に対抗するときに発生します。ほとんどのナビゲーションシステムは、最も強いGPS信号を使用するように設計されていますが、偽の信号によって正当な衛星信号が無効にされることがあります。
GPSスプーフィングの商業的リスク
GPSスプーフィングとGPS妨害とを混同しないでください。GPS妨害は、サイバー犯罪者がGPS信号を完全にブロックしたときに発生します。通信をブロックする可能性のあるGPS妨害装置の販売または使用は、米国では違法です。GPSの妨害はより大きな脅威であるように見えますが、GPSのなりすましはさまざまな企業が痛手を負うリスクをもたらします。
GPSスプーフィングにより、ハッカーは使い手が気付かないうちにナビゲーションシステムに干渉することができます。偽のGPSフィードにより、ドライバー、船長、その他の利用者は知らないうちにコースから外れます。GPSスプーフィングに対して特に脆弱なビジネスは、運輸関係の企業、タクシーサービス、建設会社です。
海運会社
陸、空、海を経由して貨物を運ぶ運送会社はすべて、GPSベースのナビゲーションシステムを使用して、世界中の目的地に貨物を安全に運んでいます。GPSスプーフィングにより、これらの貨物は乗っ取りや盗難の影響を受けやすくなります。これの実用的な例は、ハイジャック犯がGPSスプーフィングを使用して、貨物を盗みやすいある場所に車両を誤誘導する場合です。その間、トラックの位置を隠して犯行に及びます。さらに、多くの荷主はGPS対応のロックを使用して貨物を保護し、トラックが設定された目的地に到着したときにのみ開くことができます。GPSスプーフィングもこれらのロックを解除します。全体として、これはドライバーを危険にさらし、トラック輸送会社はこれらのようなハイジャック事件のために毎年数百万ドルの貨物を失ないます。
タクシーとライドシェアリングサービス
タクシーの運転手が乗客を輸送するために街の通りの知識だけに頼っていた時代は終わりました。今日のタクシー運転手は、免許が許可する任意の都市に行くことができ、GPSテクノロジーを使用して効率的に仕事をすることができます。ただし、この柔軟性にはいくつかの欠点があります。GPSスプーフィングにより、ドライバーは自分の場所を偽装し、24時間体制で犯罪行為を行なうことができます。乗車サービスのドライバーは、このテクニックを使用して、より多くのお金を稼ぐために不正にサージエリアに居るように操作することも可能です。誤った場所を投影することは、企業にとって財務上のリスクであり、乗客にとっても潜在的に危険です。
建設会社
確かに熟練した建設労働者は高く評価されていますが、専門の工具、機器、機械は多くの建設会社が追跡しようとしている資産です。これらの高価な資産は、一般的に、現場で労働者による盗難などで失なわれ、会社の利益に食い込んでいます。近年、建設資機材、工具、機械が認可された作業現場に確実に残るように、GPS資産追跡システムが導入されています。しかしGPSスプーフィングを使用することにより、犯罪者は誰にも知られずに資産を新しい場所に移動できてしまうのです。
その他のGPSスプーフィングの危険性
GPSスプーフィングは、企業や政府機関に対する単なる脅威ではありません。また、GPSに依存する個人に重大な被害を及ぼす可能性もあります。海岸沿いの水路をクルージングすることは、ボート遊びを楽しむ人にとってお気に入りのルートです。現代のボートには、GPSベースのナビゲーションシステムが装備されています。サイバー犯罪者は、GPSスプーフィングを使用して、ボートをコースから外し、現代の海賊からの危険な道へと進ませることができます。
位置情報に基づいた出会い系アプリのメーカーは、潜在的な仲間に会うための安全な方法としてそれらを宣伝しています。これらのアプリはGPSテクノロジーを使用して、ユーザーが場所によって相手を識別できるようにします。悪意のある犯罪者優がGPSスプーフィングを使用すると、自分の場所を偽ったり、相手を危険な場所に誘導したりできます。
もうすでに運転の未来が到来し、一部の電気自動車には、すでにオートパイロット機能が搭載されており、旅行に疲れた運転者に比類のない利便性を提供しています。しかし、当社で実施した調査で、自動車のナビゲーションシステムに重大な脆弱性が発見されました。GPSスプーフィングインシデントの発生時には、人が車を操縦できるようにするハンドルなどのデバイスなしで完全に自動化された自動運転車が製造されると、リスクと考えられます。
GPSスプーフィング攻撃と戦うためのヒント
GPSベースのナビゲーションシステムに依存するビジネスを所有している場合は、GPSスプーフィング攻撃を妨害する最善の方法を知りたいと思うでしょう。国土安全保障省は、問題と戦うためのいくつかの物理的および手続き的技術を指摘しています。企業はGPSアンテナを公共の場から隠すことをお勧めします。GPSスプーフィングは、攻撃者がアンテナに近づき、周回している衛星からの正当なGPS信号を上書きできる場合に効果的です。
GPSを取り扱う企業では、予防としておとりアンテナの設置を提案しています。サイトのさまざまな場所に冗長アンテナを追加すると、ひとつのアンテナがGPSスプーフィングのターゲットになっているかどうかを確認できます。Regulus Cyberなどの企業は、スプーフィングインシデントについてユーザーに警告し、デバイスがスプーフィングされたGPSデータに作用しないようにするGPSスプーフィング検出ソフトウェアも開発しています。
さらに、企業では、接続が積極的に必要とされていないときはできるだけGPS対応機器をオフラインにすることを検討する必要があります。これにより、攻撃の影響を受けにくくなります。同様に、セキュリティー衛生の基本に従って、2要素認証、ネットワークファイアウォール、およびその他のサイバー防御の使用とともに、定期的な更新やパスワードの変更などのさらなる保護対策を行なうことも有効です。
プライバシーのためのGPSスプーフィング
GPSのなりすましは、人、企業、政府に大きな問題を引き起こす可能性がありますが、これには正当な使用法があります。GPSの追跡と位置情報の共有は、すべての人に本当のプライバシーの問題を提示します。GPSスプーフィングにより、ユーザーは実際の位置を害を及ぼす可能性のある人から隠すことができます。セキュリティー企業は、GPSスプーフィングを使用して、注目度の高いクライアントや高価な商品を保護できます。個人は、AndroidスマホにGPSスプーフィングアプリを無料でインストールして、自分の位置を隠し、プライバシーを保護することが可能です。
参考:
・https://en.wikipedia.org/wiki/GPS_signals
・https://medium.com/@theappninjas/what-are-gps-spoofing-apps-actually-doing-5c9f373540c4
・https://nordvpn.com/blog/gps-spoofing/
・https://play.google.com/store/apps/details?id=com.lexa.fakegps&hl=en_US
・https://www.csoonline.com/article/3393462/what-is-gps-spoofing-and-how-you-can-defend-against-it.html
・https://www.digitaltrends.com/mobile/gps-spoofing/
・https://www.gps.gov/spectrum/jamming/
・https://www.thedrive.com/the-war-zone/31092/new-type-of-gps-spoofing-attack-in-china-creates-crop-circles-of-false-location-data
・https://maximumridesharingprofits.com/drivers-can-get-deactivated-using-fake-gps-apps/
・https://www.prnewswire.com/il/news-releases/tesla-model-s-and-model-3-prove-vulnerable-to-gps-spoofing-attacks-as-autopilot-navigation-steers-car-off-road-research-from-regulus-cyber-shows-300871146.html
・https://www.regulus.com/blog/gps-spoofing-the-auto-cybersecurity-threat-hiding-in-plain-sight/
・https://www.defense.gov/Explore/Features/story/Article/1674004/what-on-earth-is-the-global-positioning-system/
※本ページの内容は2020年8月25日(US時間)更新の以下のMcAfee Blogの内容です。
原文:What is GPS spoofing?
著者:McAfee
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト