水平線の彼方で繰り広げられるサイバー攻撃とは～船舶セキュリティ勉強会レポート

こんにちは。広報の二見です。

突然ですが、コーヒーはお好きですか？

私は毎朝コーヒーを飲みます。シャキッとしたい時も、リラックスしたい時も、実に頼れる相棒です。そんな頼れる相棒、コーヒー豆のほとんどは国内で作られたものではなく、赤道直下の国ブラジルなどから海を越えて運ばれてきています。

みなさんご存じの通り、島国の日本では生活必需品の多くを輸入に頼っています。目の前にあるパソコンやスマートフォンの部品に使われている鉱物資源、家を建てるときに使われる木材や車を動かすためのガソリンなど、日々当たり前に使っているものの多くは、海外から船で運ばれています。

そう考えると、私たちの生活は「船」が安全に物資を届けてくれるから成り立っている、「船」に支えられているといっても過言ではありませんね。

ラックは2023年7月に、国立高専生に「船のIoT化に伴うサイバーセキュリティの重要性」への理解を深めることを目的に、独立行政法人 国立高等専門学校機構 広島商船高等専門学校などが主催する、国内初の実運航中でのサイバーセキュリティ演習を含むセミナーを実施しました。さらに2023年12月、その演習の内容を記者向け勉強会としてフィードバックしました。

本記事では、日々あまり詳しく触れる機会のない「船舶へのサイバー攻撃の脅威」について、2023年12月に実施した記者向け勉強会のトピックを中心にお伝えします。

勉強会のハイライト

登壇したメンバーは、コンサルティングサービス部の竹内 正典と、デジタルペンテスト部の今井 志有人の2人です。

竹内は、2018年より日本海事協会様へセキュリティコンサルタントの立場でアドバイザリ支援を行い、一般社団法人交通ISACの海事ワーキンググループにも参加しています。その経験を基に船舶サイバーセキュリティの現状と今後について解説しました。

今井は、2018年より企業や銀行のネットワークやIoT機器、医療機器などを対象にしたペネトレーションテストに取り組んでおり、2021年には実際に運航する船を使って舶用機器に対するペネトレーションテストを行っています。今回は、船舶のGPS（測位情報）・AIS（他船情報）システムに対する攻撃手法にフォーカスして説明しました。

船舶に対するサイバー攻撃の脅威と、現状と未来の解説

船舶サイバーセキュリティの現状

船舶のサイバーセキュリティに関する現状は、海事分野ではサイバー攻撃によるインシデントがわずかであり、他の産業に比べて極端に少ない傾向にあります。

報道された攻撃の多くは、海事関連団体や企業、港湾に対する不正アクセスやランサムウェア攻撃であり、船舶に対する攻撃は主にGPS・AISスプーフィングやジャミングです。ただし、船舶運航システムへのサイバー攻撃による、重大な運航支障につながるインシデント事例は報告されていません。

報告件数が少ない理由としては、多くの船舶システムでは運航に関わるネットワーク（OTネットワーク）がITネットワークから分離されているため、攻撃者が船舶システムに侵入するのが難しいことが考えられます。

さらに、外航の場合、衛星通信を使用しているため通信速度が遅く、内航では利用しているWi-Fiの通信環境が悪いこともあり、攻撃側の障壁も高くなっています。

また、船舶システムへの攻撃が陸上の情報システムに比べて金銭的なメリットが乏しいことも、サイバーインシデントが少ない理由の一つとして考えられます。

IoTの利活用が進んだ船舶システムと攻撃シナリオ

最近では、船舶の安全性や効率性の向上を目的とし、船舶におけるIoT、クラウドやソフトウェアの利活用が増えつつあり、船舶も陸上のネットワークに接続される傾向が強まっています。

また2023年より日本領海内でも低軌道衛星通信サービスが利用できるようになったことを受け、今後、自律運航を見据えた船舶システムの高度化が益々進むことで、海運業界でも深刻となっている人手不足の解消が期待されています。

一方で、リモートアクセスや舶用機器が多くネットワーク接続されることにより、サイバー攻撃のリスクも高まる可能性があります。

技術・人・プロセスでの対策の進め

船舶におけるサイバー攻撃リスクの高まりを受け、国際船級協会連合（IACS）において、2022年4月にサイバーレジリエンスに関する2つの統一規則が発行されました。

2024年7月1日以降の建造契約の船舶に適用されるため、現在業界では本規則に適用するよう技術的対策についての議論がされています。ただし、船舶システムのサイバーレジリエンス向上を図っていくためには技術的な対策だけでなく、人やプロセスの面からも対策を考えることが重要です。

今後必要と考える船舶サイバーセキュリティ対策のポイント3つ

• 長期ライフサイクルを考慮した対策
  船舶は長期間使用されるため、ライフサイクルを意識した対策を行っていくことが大切です。例えば、「セキュリティ・バイ・デザイン」や「シフトレフト」という考え方のもと、船舶建造の企画や設計といった早い段階からセキュリティを考慮し、就航後も船舶システムのインベントリ管理、脆弱性管理などの具体的なセキュリティ対策が必要です。
• これからの船を意識した取り組み
  現在の運航に関わる船舶システムはネットワーク化されていないため、セキュリティ対策の必要性を感じにくく、業界全体での対策が進みにくい状況にあります。しかし、船舶がIoT化する未来に向けて、「船舶特有の環境」と「IoT、クラウド、AIなどの技術を活用する際のセキュリティ」を考慮した船舶サイバーセキュリティのベストプラクティスを業界全体で検討する必要があります。
• セキュリティ人材・環境の確保
  ここが非常に重要でかつ、個人や企業ごとに対応するのが難しいポイントです。船舶のIoT化が進むにつれ、今まで業界になかったような新たな知識が必要になります。短期的には専門家の活用が有効ですが、将来的には業界内でセキュリティに精通した人材を育成し、船舶のセキュリティ対策を実験・検証できる環境を整備し、業界全体でセキュリティの水準を向上させることが重要です。

今後、船舶システムでは自律運航を見据えたIoT技術やデータの利活用が進みます。これにより、陸上と同様のサイバーセキュリティインシデントが船舶でも起こる可能性が高まります。

セキュリティ対策としては、IACSの統一規則を基にしつつ、IT技術を活用した対策が必要です。また、「技術」だけでなく、「人」と「プロセス」の面からもセキュリティを考えることが大切です。

GPS・AISを狙う攻撃手法

安全な航行に欠かせない電子海図システム

船舶は、電子海図システムを使用してGPS（測位情報）やAIS（他船情報）を取得し、自身の航路を適切に設定し安全に航行しています。

電子海図システムは障害物や浅瀬などの危険を警告する機能も備えており、船長や船員に航路上のリスクを通知するなど、航行の際に重要な役割を果たす装置です。

GPSとAISが電子海図システムへ運ばれる仕組み

船舶の外にある受信機から受け取ったGPSやAISの信号は、NMEA形式に変換され電子海図システムに送られます。電子海図システムは受け取ったデータを基にその情報を海図上に表示します。

現状ECDISと機器との間で1対1のシリアル通信が行われることが多いのですが、最新の船では有線LAN接続をされることもあります。

GPSを狙う攻撃

GPSを狙う攻撃には、主に「GPSジャミング（電波妨害）」と「GPSスプーフィング（なりすまし）」の2種類があります。

GPSジャミングは、地上局からGPSと同じ周波数の電波を大量に送信することで、船のGPS受信機が正しい衛星信号を受け取れなくなる攻撃手法です。これにより、船の位置情報が不正確になり、航行や港への入出が困難になる可能性があります。

一方、GPSスプーフィングは、地上の攻撃者が船のGPS受信機に誤った衛星信号を送信することで、船の位置情報を操作する攻撃手法です。例えば、海賊が船を特定の場所に誘導するために利用したり、船舶の航行経路を偽装して船を危険な地域に誘導したりすることができます。

これらGPSを狙う攻撃は、ウクライナ紛争や黒海上の船舶で報告されており、例えば、ロシアがGPSジャミングで米国製の高機動ロケット砲システムのGPS誘導を妨害していると報じられています。

AISを狙う攻撃

AISを狙う攻撃も同様に、ジャミングとスプーフィングの攻撃手法があります。

AISジャミングは、船舶同士の通信を妨害する攻撃で、通信の混乱や情報の遮断を引き起こす可能性があります。

一方、AISスプーフィングは、海図システムに架空の船舶を表示する攻撃で、船の位置情報を偽装します。これにより、海賊が船を特定の地域に誘導し、航行を混乱させて身代金を要求する可能性があります。

これらの攻撃はまだ報告されていませんが、自律運航などの技術の進化により船舶にとって大きな脅威となる可能性があります。

電波を用いたなりすまし攻撃のシステム的・運用的対策

まず、システム的な対策としてインフラ側でできることとしては、GPS・AIS信号にデジタル署名などのなりすまし対策を行うことが考えられます。

また、船舶のアンテナを指向性に変えることで、地上局からの攻撃を防ぐことができます。さらに、GPSやAISだけでなく複数のセンサー情報を統合するセンサーフュージョンを採用することも有効です。

続いて運用面では、電子海図システムに完全依存せず、幽霊船が出現した場合には、レーダーや目視で確認できる情報を周囲の船と共有して事実を確認するアナログな対策も有効な手段であると考えられます。

将来的に自律運航が普及した場合、船舶は高度な自律性を持ち、船自体が航行や操縦を行います。このような状況下では、システムが攻撃されると直接的かつ深刻な影響が生じる可能性があります。

そのため、システム構築時に攻撃が行われる可能性を十分に考慮し、適切な対策を講じることがセキュリティの観点から非常に重要です。

技術の進展とともに高まるサイバー攻撃リスク

2010年代初頭にスマートフォンの普及が始まり、特に2013年頃から急速に普及しました。この時期には、スマートフォンが一般的なコミュニケーション手段として定着しました。

スマートフォンの普及により、インターネットが身近になり、人々はどこにいても容易に情報を入手し、他者とのコミュニケーションを取ることができるようになりました。まさにインターネットで繋がる情報化社会形成の本格的な始まりだったのではないでしょうか。

一方で、このデジタル技術の進歩に伴い、サイバー攻撃も増加し、その脅威がますます高度化しています。サイバー攻撃者は、新たな技術や手法を用いてシステムやデータを侵害し、さまざまな悪意を持って活動しています。このような攻撃は、デジタル技術の進展と並行して発展し、ますます複雑化しています。

船舶の自動運航技術の実用化への期待

デジタルトランスフォーメーションの進展に伴い、船舶の自動運航技術が注目を浴びています。一方で、船舶の自動運航技術の発展に伴い、サイバーセキュリティの重要性が増しています。

自動運航システムはデジタル技術に依存する部分が多いため、セキュリティの確保が不可欠です。デジタル化により接続ポイントやデータの取り扱いが増えることでサイバー攻撃のリスクも高まるからです。

このように、自動運航が普及するにつれ、堅牢なサイバーセキュリティの構築や脅威への即時対応が求められるようになります。また、乗組員や関係者へのセキュリティ教育や訓練も適切に実施する必要があります。

これらの取り組みにより、デジタル技術を使用しつつもセキュリティリスクを最小限に抑え、安全で信頼性の高い自動運航の実現が期待されています。

おわりに：持続的な取り組みの重要性

今回は、普段あまり詳しく触れる機会のない船舶に対するサイバー攻撃の脅威についてお伝えしました。

水平線のはるか彼方でもし船舶のシステムが完全停止したら......。デジタル技術の進展とサイバーリスクは表裏一体であるという深刻な課題を、今一度認識していただく機会になりましたら幸いです。

デジタル技術の進歩は様々な便益をもたらしますが、進展に伴うリスクも同様に大きくなり、双方は密接に結びついています。

今後も生成AIの活用など、目まぐるしいスピードで進化を続けるデジタル社会、この先も技術と対策のバランスが重要です。

私たちが、スマートフォンというコミュニケーションツールに対するリテラシーが向上したのは、少しずつリスクを理解しながら毎日使い続けるという持続的な取り組みを自然と行ってきたからです。企業におけるセキュリティ対策も本質は同じではないでしょうか。

技術の進化と共に利用する側のシステム対策、人のリテラシー向上を図り、安心・安全に最新テクノロジーの利活用を実現していきたいと思います。

プロフィール