JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

IoT時代のセキュリティ⑤ ドローンのセキュリティとセーフティ~後編

こんにちは。
自らドローンの話を書いておきながら、その茫漠とした広がりに、実はちょっとばかり後悔している鈴木盛正です。

あまり手広く考えてしまうと拡散しすぎますので、今回はドローン編最終回として特にITシステムの視点からドローンのセキュリティとセーフティを考えたいと思います。ということで第5回の今回は第一象限の話が中心となりますが、ドローンは開発中の技術も多いので将来の技術動向・方向性についても触れてみたいと思います。
図1.png

ドローンに想定される脅威

ドローンが対処すべき主な脅威には、以下のようなものがあると考えられます。
図2.png

(1) ソフトウェアのバグ

ドローンのソースコードは、C言語やJava Script、ベースOSも元々はLinux[1]などの既存OSがベースです。よって、これまでのITシステムと同様、意図しないバグやセキュリティ・ホールが紛れ込む余地があります。

(2) ウィルス/マルウェア

現時点では、ドローンのフライト・コントローラをターゲットとしたウィルス/マルウェアは、少なくとも民生用では確認されていません。が、既に「実行可能な」コードは作成されているようです。[2]

また、第3回のコラムにて、最も進んだドローンは軍事用であることを述べました。ということは、Stuxnet[3]のような、特定の国の軍事用ドローンを標的にしたウィルスやワームが開発され、それが民間に流出することもありえます。というか、既に開発はされていて、後はそれを流布させる決定的局面(紛争・戦争時)を待っているだけではないのか?というのがもっぱらの噂です。

念のため申し上げておくと、軍事用ドローンのセキュリティは民間用とは比較にならないほど厳しいため、侵入や乗っ取りは桁違いに困難です。おそらくターゲットとしているのは、民生用を一時的に軍事目的に転用するようなケースと思われます。

(3) 電波ジャックによる機体乗っ取り

プロポと機体の間で行われている通信を傍受・解析し、機体の制御を乗っ取ることは、原理的には可能です。乗っ取った機体を墜落させる、あるいは乗っ取った機体を攻撃などに再利用する、といった脅威が考えられます。極限られた条件下ではありますが、実際に乗っ取ることが可能なことが実証されています。[4]

(4) 貨物やデータの掠め取り

ドローンに積まれた荷物を別の場所に降ろして掠め取る、あるいはドローンのセンサやカメラのデータを盗聴する、といった、情報や物品の窃盗・悪用が考えられます。

防御対象となる、4つのコア・システム

これらの脅威に対処するため、防御の対象となるシステムは何でしょうか。そのキモとなるのが、第4回の最後に述べた、4つのコア・システムです。ここで、それぞれのコンピュータが何なのか、その概要をまとめます。
図3.png

防御のキモ:フライト・コントローラ

セキュリティ上、防御のキモとなるのは、コンパニオン・コンピュータの一部であるフライト・コントローラになります。

このフライト・コントローラですが、現在市場にある装置は、以下の二大勢力のいづれかに収斂しつつあるそうです。
1. Apple iOSのようなクローズドモデル:DJI
2. Google Androidのようなオープンモデル:Dronecode

1のモデルは、ドローン機体業界のガリバーである中国DJI社が有名です。開発キットが提供されていますが、自社機体専用に閉じたソフトウェアとなっています。ハードウェアに関しては公開されている情報が少なく、使っているチップも、かなり高度な専門的知識・技術がないと判らないようにされています。[5]

2は、オープンソースによる複数のドローン・プロジェクトを統合する形で2014年に設立されたDronecode Foundationにより推進されています。[6](GPLライセンス方式を巡り、途中で分裂)使用しているハードウェアに関しては、CPUにARM Cortex M4を使ったPixhawkが有名です。[7]
このコンパニオン・コンピュータのソースコードにバグやセキュリティ・ホールがあった場合、機体の乗っ取りや、意図しない飛行が発生する可能性があります。このキモとなる部分のセキュリティについて、ドローン・ジャパンの春原久徳氏に伺ったところ、以下の様に述べられていました。

「ハイレベル・アーキテクチャ[8]の中で、Drone APIとフライト・コントローラ間のコミュニケーション・レイヤに位置づけられるMAVLinkに、実行イメージの署名ある・なしを検証する仕組みが定義された。しかし、全体的には、セキュリティに関してはまだまだこれからの課題であろう。」


GPSや気圧高度計、カメラを使った衝突防止や操縦者への映像転送を行うサブ・ユニットについては、フライト・コントローラに統合されているケースもありますが、具体的な対策についてはコミュニティの外にはあまり出てきていません。これらのサブ・ユニットがおかしな値をフライト・コンピュータに渡すと、ドローン同士の衝突・墜落を誘発する可能性があります。これは、意図された攻撃だけではなく、実装上の違いによっても、引き起こされる場合があります。NASAが行ったドローンによる編隊飛行の実験においては、ドローンの機種毎に高度の計測方法が異なったため、危うく衝突しかけた、といった事例が報告されています。[9]

感染経路と深く関連する通信規格とその仕様

ドローンに関連するコンピュータは、大抵USBなどの外部I/Oインタフェースが付いています。感染経路がこういった物理接続インタフェースだけであれば、防御方法もかなり楽になります。しかし、ドローンとのI/Oインタフェースにおいて、USBなどの物理インタフェースやハード・ワイヤードと呼ばれる有線通信はむしろ補助的なものであって、飛行中に主となる通信方式は電波による無線通信です。

では、こういった通信が乗っ取られる危険性はあるのでしょうか?

これを理解するには、第2回で少々触れた電波法と、その中でドローンに許可されている通信方式について、確認する必要があります。まずドローン用に許されている無線通信方式ですが、2016年8月に電波法が改正され、現在は下記の通信方式を利用することが出来ます。

総務省作成 『ドローンで使用されている主な無線通信システム』PDF

このうち、ドローンの遠隔操縦用として、プロポ⇔機体間の通信に主に使われているのが下記2つの方式になります。

A) 920MHz:特定小電力無線局
B) 2.4GHz(2400MHz~2483.5MHz):小電力データ通信システム

「えっ?携帯電話や無線LANといった、なじみのある通信インフラじゃないの?」と言う点に気が付かれたかと思います。ドローン・メーカによっては、携帯電話やWi-Fiをデータ転送用に使っている機種もあり、遠隔操縦も含めて、こういった汎用通信インフラへ移行していくことを表明しているメーカもあります。しかしながら、現行の携帯電話網やWi-Fiでは、高度が上がると通信ができなくなることが多く、特に遠隔操縦用途では主流ではありません。また、遠隔操縦において重要なのは、帯域幅(kbps)よりレイテンシー(msec)です。よって、今後整備が予定されている携帯電話の5Gや、IoT用途で期待されているLPWAN:Low Power Wide Area Networkなど、次世代の汎用通信インフラにおいても、それらがどこまで使い物になるかは、今後の検証が必要な状況にあります。
一方で、現在の通信方式は、すでに様々な面で課題のあることが指摘されており、「ドローンの無線通信方式をどうして行くか」が、喫緊の課題となっています。[10]

ドローンの乗っ取りは可能か?

では例えば、920MHz帯や2.4GHz帯の通信を盗聴したり、その通信を乗っ取ったりすることは可能なのでしょうか?
結論から言うと、まったく無防備なわけではないが、専門知識とそれなりの装置があれば可能です。

例えば、2.4GHz帯の通信においては、まず、飛行前のペアリングによって、機体とプロポの間が一意に紐付けられます。イメージ的にはBluetoothのペアリングのようなものと思って下さい。ですので、例え同じ周波数帯を使っている、同一メーカ、同一機種であっても隣のドローンを誤って操縦ということは起きません。また、通信自体もFH方式による周波数ホッピングが行われているので、単純な盗聴はまず不可能と言われています。

しかし通信データ自体が暗号化されている訳ではないので、スペクトル・アナライザーを使って周波数ホッピングのパターンを解析しそれに合わせて変調をかければ電波ジャックが可能です。電波ジャックによる盗聴や乗っ取りの脅威に対抗するにはデータ自体を暗号化するのが有効です。実際に、NICT、AISTでは、ドローン向けの暗号化通信の研究・開発を行っており実証実験にも成功しています。[11]

しかし、暗号化技術が標準的に実装されるようになるまでには、まだ1、2年はかかりそうです。更によりシビアな問題は、飛行する生物・無生物共通の正義である、飛行に関係のないデッドウェイトは極力減らす、という大命題との矛盾です。暗号化通信となるとそれなりのプロセッサ・パワーが必要となり、バッテリーの消費量も増えるでしょう。その結果、例え百グラムとはいえ、飛行に直接関係のない重量が増えることは、それ即ち飛行性能の低下へ繋がり、第4回で述べたドローンの特徴である、良好なペイロード比の悪化に直結します。そのため、高セキュアな通信機能は、まずは中・大型のドローンを特定用途(防犯・警備や危険物輸送など)に使う場合のオプション機能として、実用化されていくのではないでしょうか。

違法ドローンの検知と妨害

首相官邸へのテロをきっかけとしてマスコミにアテンションがかかったこともあり、最近では文化財や景勝地、花火大会などの催し会場上空を無許可で飛行させた、というニュースをしばしば耳にします。[12]そういった違法ドローンへの対策として、一昨年あたりから、違法ドローンを検知・妨害する製品が市販化され始めました。どのような製品が、どのような目的で開発・市販されたのかを知るために、まず違法ドローンの検知・妨害のステップを見てみます。

違法ドローンの検知・妨害のステップは以下の4ステップと考えられます。
1. 探索・探知
Ÿ 全天頂を監視し、飛行物体の中からドローンを探

2. 識別・照合
Ÿ そのドローンが違法ドローンか否かを照合

3. 妨害・捕縛
Ÿ 違法ドローンの飛行を妨害・捕縛

4.捜査・捜索
Ÿ ドローンの操縦者や所有者を捜索

第一段階:探索・探知
まず1の探索・探知についてですが、その手法には大きく分けてアクティブ方式とパッシブ方式がありそれぞれ以下のような方法があります。
図4.png

広大な全天頂の中から小さいドローンを見つけるのは、肉眼だけではなかなか大変です。「そんなのレーダーで探せばいいじゃん!?」と思われるかもしれませんが、ドローンは機体が小さいため、レーダーで探知しようとするとかなり大出力のミリ波レーダーなどが必要であり、電波法の制約もあるので街中で使うには無理があります。

そのため現在民生用や警備の現場で使われているのは、主にパッシブ方式の探知手段です。主として使われている方式が、ドローンの遠隔操縦に使われている無線電波を探知する方式です。ただこの方式も、いろいろな電波が飛び交う街中で特定の帯域だけを拾い、それがドローンの通信かどうかを正確に判別するには、かなりの経験が必要だと聞きました。

最近では、ドローン特有の音(プロペラを回すモーター音)を特殊なマイク(マイクロフォン・アレイ)で集音、音で大体の方角の位置の目処をつけ、その座標データを高解像度のビデオカメラにフィードバックし、最後は画像解析と組合せてドローンを探知する、という装置も市販されています。[13]

第二段階:識別・照合
探知したドローンが違法なものかどうか照合する作業になります。この辺がどうなっているのか、正直あまり表沙汰にはなっていないので多分に想像が含まれますが、(a)危険な物体を搭載していないか等を確認、(b)飛行空域、飛行方法が違法でないかをGPSとGISで照合、(c)国土交通省への飛行申請内容と照合し、申請されているかどうか、申請されている場合どのような申請内容かを判別、といったことが行われているのではないかと思います。

第三段階:妨害・捕縛

これには大きく2つの方法があります。一つは電波ジャミング(電波妨害)により遠隔操縦の通信を妨害し機体を制御不能にする方法で、そのための装置も既に市販されています。[14](注:ジャミング機能は日本国内では使えない、とあります。)ただジャミングで操縦電波を妨害しても、ドローンの自動帰還機能などにより飛び去ってしまうケースもあり、直ちに撃墜したい場合(危険物を積んでいる場合等)には別の手段が必要になります。そのためのもう一つの方法が物理的な手段で、対ドローン用ドローン(ドローンを捕縛する装置を装備したドローン)から、投網を投下し、プロペラに絡みつかせて墜落させるという仕組みです。こちらも既にドローン・メーカや警備会社から製品が発表されており、機動隊の無人航空機対処部隊にも導入されています。[15]

第四段階:捜査・捜索

これはまったくの専門外なので想像になりますが、おそらく、機体の製造番号、機体とプロポのペアリング時の履歴、撮影された違法ドローンの映像などから、機体と操縦者を特定するのだと思われます。

ドローンのセーフティ:墜落したりしないのか?

ドローンと聞いて皆様がまず思うのは、「意図的でないにしろ、よく落っこちるんでしょ?」という、ことではないでしょうか?これは、ITの世界では、セキュリティではなくセーフティとして定義される領域ではありますが、現実の不安として大多数が最初に心配されることなので、最後にその点について見てみます。事実としては、第4回の脚注資料1[16]にもあるように、率は低いものの、墜落事故はゼロではありません。ただ、数々の安全対策がされているので、きちんと手順を踏んで飛ばせば、墜落はかなりレアなケースである、と言えます。

まず、機体側の安全対策としては、ホビー用に近い小型機であっても、自動帰還機能、衝突防止機能、その場でホバリングして停留する機能、といったフェールセーフ機能が実装されています。[17]
しかし、先の無線通信方式とも関連しますが、例えば高圧電線のごく至近(おおよそ10m以内)では、電波が乱され、操縦不能になるといったことが発生します。また、周波数ホッピングやチャネル切り替えにより、混信自体は起こりづらいのですが、例えば同じ空域に多数のドローンが飛んでいたり、近くに同じ周波数帯を使う機器がたくさんあったりといった極端な状況下では、通信の安定性が低下し、結果として操縦不能になることがあります。

そのような場合でも、フェールセーフ機能により墜落までに至るケースはほとんどありませんが、離陸した直後に自動帰還機能でいきなりギュィーンと戻ってきたりするので、かなりびっくりするそうです。めったに墜落しない、と申しましたが、ライセンス教習の場では皆さん慣れていないのに加え、ここぞとばかりに無理な操縦を試すので、よく落ちるそうです(笑)

デジタル・トランスフォーメーション時代の新たな規範が求められる

これまでのITにおけるセキュリティでは、「セキュリティとセーフティは分けて考える」のが常識であり、鉄則でした。しかしこの常識は、ITが物理的な機械の操作からある程度分離されている、あるいは使用環境を工場など一般人が立ち入れないクローズドな環境に限定できていた、繋がらない時代の古い常識になりつつあります。
図5.png

今後、ドローンやIoT、さらには車の自動運転までITが深く関わる時代:デジタル・トランスフォーメーション(DX)時代においては、セキュリティとセーフティ、更には人心や社会の安寧まで考慮した、新たなセキュリティの規範やその考え方が早晩求められてくるでしょう。

願いはドローンの有効活用

本稿をお読みいただき、もし、「ドローンは危険だ、この世から無くしてしまえ!!」と思われてしまったら、それは筆者の文章力が拙いせいですのでお詫びします。ホンネを言えば、セキュリティというお題でドローンを取り上げることに一抹の不安がありました。というのも、ドローン1機が墜落するたびにセンショーナリズムに走った煽り報道を見るにつけ、ドローンの将来が葬り去られかねない、という危惧を強く感じてしまうからです。

ドローンに関わる産官学の皆様と話すと、この技術の長所短所を深く理解し、正しく発展させていこうと真摯に努力されていることを痛いほど感じます。こういった最前線のエンジニアの皆様の努力が正当に報われ、ドローンの持つ可能性がより一層利活用される時代になっていくことを、心の底から願っています。

謝辞
第3回から第5回に亘る計3回のコラムにおいて、以下の方々のご講演や資料から、数多くの貴重な示唆・要訣・手蔓を頂きました。
株式会社エンルートラボ 代表取締役 伊豆 智幸様
ドローン・ジャパン株式会社 取締役会長 春原久徳様
また、ジャパン・ドローン展、国際ドローン展の会場にて、素人同然の筆者の唐変木な質問に根気よく丁寧にご説明頂いた関係者の皆様に、この場を借りて改めて深く感謝申し上げます。

筆者プロフィール
鈴木 盛正(すずき もりまさ)
1987年日本ディジタル・イクイップメント(日本DEC)からITキャリアをスタート。
一貫してITインフラストラクチャの設計・構築・運用のプロジェクトマネージャ、コンサルタントを務める。現在、当社にて近未来新規ソリューションの開発を担当。

[2] キヤノンITソリューションズ株式会社
ドローンがマルウェアに乗っ取られる日(2015年6月15日)

[9] Japan Drone 2017展
『米国におけるドローンの運行管理プロジェクトについて』(2017年3月24日)NASAエイムズ・リサーチセンター シニアテクノロジストDr.Parimal Kopardekar氏の講演より。(以下、筆者による関連部分の抜粋・補完)
航空機の高度の計測方法にはいくつかあり、地図に使われている平均海水面からの高さを表す海抜高度の他、地表面からの高さを計測する絶対高度などがある。ドローンでどれを使うかは、各メーカに委ねられているのが現状。その結果、NASAが行ったドローンによる編隊飛行実験において、あやうく空中衝突しそうになった。こういった経験は、実際に飛ばして実験したからこそ判明したのであり、今後もこういった実証実験を重ねていくことが非常に重要である。

[10] 一般社団法人 日本ドローン無線協会
2.4GHz帯ドローン無線運用の落とし穴(2017年4月9日)

[13] パナソニック システムネットワークス株式会社
ドローン検知システムの受注を開始(2017年3月7日)

Adobe® Reader®

PDFファイルの閲覧には、Adobe® Reader®が必要です。

Adobe® Reader®のダウンロード

お問い合わせ