システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
何百万もの英国人がスマートメーターハッキングの危険にさらされている
March 9, 2018 08:00
by 『Security Affairs』
セキュアでないIoTデバイスは、ハッカーにとって格別の標的だ。残念ながらスマートメーターも、そのターゲットにはいっている。
英国の諜報機関「GCHQ」(政府通信本部)は、英国の2700万世帯に設置される予定となっている新しいスマートメーターに脆弱性を指摘した。
GCHQによれば、その脆弱性は、IoTデバイスを危殆化するハッカーたちに悪用され、ユーザーに深刻なリスクをもたらす可能性がある。
英国の一部のエネルギー供給企業(British Gas、E.on、Npower、Scottish Power、EDFなど)は2017年、スマートメーター「SMETS 2(SMETS 1の後継機)」のテストを開始した。
この新しいスマートメーターは、800万台の「SMETS1」に存在していた複数の課題に取り組んだモデルだ。
SMETS 2は、第一世代のSMETS 1の様々な課題(ユーザーとエネルギー企業の両方が直面していた問題)を解決した。このSMETS 2は、旧式のSMETS 1とは異なり、英国のエネルギー企業が遠隔操作でメーターの値を電子的に読み取って受信することができる。
また、このスマートメーターSMETS 2は様々なサプライヤーが相互運用できるようにも設計されているため、消費者はメーターを変えることなくエネルギーのプロバイダーを変更することができる。
しかし、『The Telegraph』の報道によれば、英国のGCHQは、この高性能なメーターの安全性に関する懸念を提起している。個人の詳細情報を盗むために、また請求書を改ざんして金銭を騙し取るために、攻撃者がハッキングするという懸念だ。
「メーターが普遍的なものになれば、それはハッカーたちにとってますます魅力的になるだろうとサイバーセキュリティの専門家たちは語っている。同じソフトウェアを利用して全てのメーターをハッキングできれば、潜在的な見返りが非常に大きくなるからだ」とThe Telegraphは報じている。
「サイバー犯罪者たちはメーターが記録する値を作為的に増やして、請求額を引き上げることができる」
「そののちに、彼らは利用料金の横取りを試みる。彼らが『実際の請求額』と『嘘の請求額』の差額のみを横奪すれば、エネルギー企業は『請求した金額が問題なく支払われた』と思うだろう」
さらにGCHQは、攻撃者たちが顧客のネットワークに侵入する目的で、そのデバイスを「トロイの木馬」として利用する可能性についても警告した。
また英国政府も、他国の国家に支援されているハッカーたちが、このスマートメーターの欠陥を悪用してNational Grid(英国の高圧送電線網)に損害を与えるような電力サージを作り出す可能性を懸念している。
セキュリティ専門家たちもBlueBorne(Bluetoothの脆弱性)への攻撃について警告している。その攻撃は、Bluetooth接続を悪用してスマートメーターをハッキングする可能性がある。
政府が出資している「Smart Energy GB」(スマートメーターの運用を進めている機関)のRobert Cheesewrightは、そのデバイスが金融データを直接的に管理しているのではないと説明し、危険性を控えめに扱おうとしている。しかしどうやら、その説明は「他の攻撃のシナリオ」について考慮していない。
「スマートメーターは、皆さんの家庭にあるテクノロジーの中で最も危険性が低く、最も安心できるもののひとつだ」とRobert Cheesewrightは語った。
「メーターに格納されるのはエネルギーのデータだけで、それは暗号化されている。あなたの氏名、住所、銀行口座、あるいは他の金融的な詳細情報はメーターに格納されない」
脆弱なスマートメーターに関するリスクの分析は、過去にも行われてきた。セキュリティ研究者のJavier Vazquez Vidal とAlberto Garcia Illeraは2014年、スペインでネットワークに接続されている数百万台の電気メーターが、適切なセキュリティ管理を欠いているためにサイバー攻撃の影響を受けやすいということを指摘していた。
翻訳:編集部
原文:GCHQ fears energy smart meters could expose millions of Bretons to hack
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。
ニュースのポイント(THE ZERO/ONE編集部より)
英国において、スマートメーター普及におけるセキュリティの問題をGCHQが指摘しているという記事だ。
スマートメーターをオンラインで検針が行え、ユーザーも電気の見える化などができる。しかし、インターネットを使って情報をやりとりするため、サイバー攻撃のターゲットとなり、情報漏えいやデータ改竄などのリスクも指摘されている。
日本では、経済産業省の資源エネルギー庁が「電力・ガス分野におけるサイバーセキュリティ対策」という資料を2017年7月に公開しており、電力・ガスを狙ったサイバー攻撃とリスクとその対処を国がどのようにするかよくわかる。
この資料にもスマートメーターに関する対策も書かれているが、大枠の部分しか書かれておらず、詳しい情報や対策が書かれていないのは残念だ。
『Security Affairs』
イタリアのセキュリティ専門家、Pierluigi Paganini氏が主宰するセキュリティ・ニュースサイト。
http://securityaffairs.co/wordpress/
Twitter @securityaffairs
Security Affairs on Facebook
Security Affairs on Google+
Security Affairs on Pinterest
Must Popular
-
1
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)
February 9, 2018
2
公衆無線LANを悪用した暗号通貨マイニング術
January 19, 2018
3
核兵器を超えたフェイクニュースの脅威 ロシアのハイブリッド戦闘能力(前編)
February 1, 2018
4
政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる
February 16, 2018
5
海底情報戦争──海底ケーブルに対するロシアの脅威の危険性
December 28, 2017
-
6
スマートフォンの指紋認証をセロハンテープでハッキング
February 5, 2018
7
ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍
January 15, 2018
8
連載「IoTのセキュリティリスクを考える」#03 重要生活機器連携セキュリティ協議会 伊藤公祐事務局長、緒方日佐男氏(ATM-SWG主査)、三上清一氏(車載器SWG主査)生活関連IoT機器のセキュリティをどう守るか(後編)
December 26, 2017
9
核兵器を超えたフェイクニュースの脅威 ロシアのハイブリッド戦闘能力(後編)
February 2, 2018
10
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(前編)
February 8, 2018
