研究者は、衛星放送受信アンテナ上でカスタムコードを実行できるツールを作成するために、わずか 25 ドル相当の部品を購入しました。
写真:ニーナ・リャショノク/ゲッティイメージズ
2018年以降、イーロン・マスクのスターリンクは3,000基以上の小型衛星を軌道上に打ち上げました。この衛星ネットワークは、地球上のアクセスが困難な場所にインターネット接続を提供し、ロシアによるウクライナ戦争の際には重要な接続源となっていました。業界の活況に伴い、さらに数千基の衛星の打ち上げが計画されています。そして今、他の新興技術と同様に、これらの衛星コンポーネントがハッキングの標的となっています。
本日、ベルギーのルーヴェン・カトリック大学のセキュリティ研究者、レナート・ウーターズ氏は、Starlinkのユーザー端末、つまり住宅や建物に設置されている衛星アンテナ(通称「Dishy McFlatface」)のセキュリティを初めて破った事例の一つを公開します。ラスベガスで開催されるセキュリティカンファレンス「Black Hat」において、ウーターズ氏は一連のハードウェア脆弱性を悪用して攻撃者がStarlinkシステムにアクセスし、デバイス上でカスタムコードを実行できる仕組みを詳しく説明します。
衛星アンテナのソフトウェアにアクセスするために、ウーターズ氏は購入したアンテナを物理的に分解し、Starlinkアンテナに取り付け可能なカスタムハッキングツールを作成した。このハッキングツールは、Modchipと呼ばれるカスタム回路基板で、25ドル程度の市販部品を使用している。Starlinkアンテナに取り付けると、この自作プリント回路基板(PCB)はフォールトインジェクション攻撃(システムを一時的にショートさせる攻撃)を仕掛けることができ、Starlinkのセキュリティ保護を回避できるようになる。この「グリッチ」により、ウーターズ氏はStarlinkシステムのこれまでロックされていた部分に侵入することができる。
ウーターズ氏は現在、攻撃に必要な詳細情報の一部を含むハッキングツールをGitHubでオープンソース化しています。「攻撃者として、例えば衛星自体を攻撃したいとしましょう」とウーターズ氏は説明します。「衛星と通信できる独自のシステムを構築することも可能ですが、それは非常に困難です。ですから、衛星を攻撃したいのであれば、ユーザー端末を経由するのが良いでしょう。そうすれば、攻撃が容易になる可能性が高いからです。」
研究者は昨年、Starlinkにこれらの欠陥を報告し、Starlinkは脆弱性の発見に対してバグ報奨金制度を通じてWouters氏に報酬を支払った。Wouters氏によると、SpaceXは攻撃を困難にするアップデートをリリースした(Modチップを変更した)ものの、同社がメインチップの新バージョンを作成しない限り、根本的な問題は解決できないという。Wouters氏によると、既存のユーザー端末はすべて脆弱だという。
スターリンクは、今日の午後のブラックハットでのウーターズ氏のプレゼンテーションの後に「公開アップデート」をリリースする予定であると述べているが、公開前にWIREDに対してそのアップデートに関する詳細を共有することを拒否した。
スターリンクのインターネットシステムは、主に3つの部分で構成されています。まず、地表から約340マイル(約550キロメートル)の低軌道を周回する衛星があり、地上に接続信号を送信します。衛星は地球上の2つのシステムと通信します。1つは衛星にインターネット接続を送信するゲートウェイ、もう1つは市販のディッシュ・マックフラットフェイス・アンテナです。ウーターズ氏の研究は、これらのユーザー端末に焦点を当てています。元々は円形でしたが、最近のモデルは長方形になっています。
Starlinkのユーザー端末は、同社が販売を開始して以来、何度も分解されてきました。YouTubeではエンジニアたちが端末を分解し、その部品や仕組みを公開しています。また、Redditでは技術仕様について議論する人もいます。しかし、かつてテスラのロックを90秒で解除できるハードウェアを開発したウーターズ氏は、この端末と搭載チップのセキュリティに着目しました。「このユーザー端末は間違いなく有能な人々によって設計されたものです」とウーターズ氏は言います。
ユーザー端末への攻撃は、複数の段階と技術的手段を経て、最終的に、現在オープンソース化されているこの回路基板を開発し、アンテナにグリッチを仕掛けることが可能になった。このカスタム回路基板を使った攻撃は、システムが正しく起動し、改ざんされていないことを証明するための署名検証セキュリティチェックを回避することで実現する。「これを利用して、グリッチを仕掛けるタイミングを正確に計っているのです」とウーターズ氏は語る。
2021年5月から、ウーターズ氏はStarlinkシステムのテストを開始し、大学の屋上でダウンロード速度268Mbps、アップロード速度49Mbpsを達成しました。そしていよいよ、装置を分解する時が来ました。「ヒートガン、こじ開ける道具、イソプロピルアルコール、そして多大な忍耐力」を駆使して、彼はアンテナから大きな金属カバーを取り外し、内部のコンポーネントにアクセスすることに成功しました。
写真:レナート・ウーターズ
直径59cmのフードの下には、カスタムクアッドコアARM Cortex-A53プロセッサを含むシステムオンチップ(SoC)を収めた大型のPCBが搭載されている。このプロセッサのアーキテクチャは公開されていないため、ハッキングは困難だ。基板上には、無線周波数装置、PoE(Power over Ethernet)システム、GPS受信機などが搭載されている。アンテナを開けることで、ワウターズ氏はアンテナの起動方法とファームウェアのダウンロード方法を理解することができた。
改造チップの設計にあたり、ウーターズ氏はStarlinkアンテナをスキャンし、既存のStarlink基板にフィットする設計を作成しました。改造チップは既存のStarlink基板にはんだ付けし、数本のワイヤーで接続する必要があります。改造チップ自体は、Raspberry Piマイクロコントローラー、フラッシュストレージ、電子スイッチ、電圧レギュレーターで構成されています。ユーザー端末の基板を作成する際、Starlinkのエンジニアたちは基板全体に「Made on Earth by humans(地球上で人間によって作られた)」と印刷しました。ウーターズ氏の改造チップには、「Glitched on Earth by humans(人間によって地球上でグリッチが発生)」と書かれています。
ウーターズ氏は、アンテナのソフトウェアにアクセスするために、カスタムシステムを用いて電圧フォールト・インジェクション攻撃(VFIT)によるセキュリティ保護を回避した。Starlinkアンテナの電源投入時には、複数のブートローダー段階が実行される。ウーターズ氏の攻撃は、ROMブートローダーと呼ばれる最初のブートローダーに脆弱性を突く。ROMブートローダーはシステムオンチップに焼き込まれており、更新はできない。その後、攻撃者はパッチを当てたファームウェアを後続のブートローダーに展開し、アンテナの制御権を奪取する。
「大まかに見ると、攻撃対象となるのは明らかに2つあります。署名検証とハッシュ検証です」とウーターズ氏は言う。この不具合は署名検証プロセスに悪影響を及ぼす。「通常はショートは避けたいものです」と彼は言う。「今回のケースでは、意図的にショートさせています。」
当初、ワウターズ氏は、Linuxオペレーティングシステムが完全に読み込まれたブートサイクルの終了時にチップにグリッチを仕掛けようとしたが、最終的にはブートの開始時にグリッチを仕掛ける方が簡単だとわかった。ワウターズ氏によると、この方法の方が信頼性が高いという。グリッチを仕掛けるには、電源を平滑化するために使用されるデカップリングコンデンサの動作を停止させる必要があったという。基本的に、攻撃者はデカップリングコンデンサを無効化し、グリッチを仕掛けてセキュリティ保護を回避し、その後デカップリングコンデンサを有効化する。
このプロセスにより、研究者はStarlinkのファームウェアのパッチ版を起動サイクル中に実行し、最終的には基盤システムにアクセスできるようになります。研究結果を受けて、Starlinkは研究者レベルのデバイスソフトウェアへのアクセスを提供したとWouters氏は述べています。しかし、彼は研究に深く入り込みすぎていて、改造チップを自分で作りたいと思っていたため、断ったそうです。(テスト中、彼は改造したアンテナを研究室の窓から吊り下げ、ビニール袋を間に合わせの防水システムとして使用しました。)
スターリンクはファームウェアアップデートもリリースしたとウーターズ氏は述べ、これにより攻撃の実行は困難になるものの、不可能になるわけではない。この方法でアンテナに侵入しようとする者は、多大な時間と労力を費やす必要があるだろう。この攻撃は衛星システムや接続を遮断できるほど壊滅的ではないものの、スターリンクネットワークの運用方法をより深く理解するために利用できる可能性があるとウーターズ氏は述べている。
「今取り組んでいるのは、バックエンドサーバーとの通信です」とウーターズ氏は説明する。モッドチップの詳細はGitHubでダウンロードできるようにしているものの、完成したモッドチップを販売する予定はなく、パッチを当てたユーザー端末のファームウェアや、使用したグリッチの正確な詳細も公開していない。
打ち上げられる衛星の数が増加するにつれ(Amazon、OneWeb、Boeing、Telesat、SpaceXはそれぞれ独自の衛星群を構築しており)、そのセキュリティはより厳しく精査されるようになるでしょう。これらのシステムは、家庭にインターネット接続を提供するだけでなく、船舶のオンライン接続にも役立ち、重要なインフラとしての役割も担います。悪意のあるハッカーは、衛星インターネットシステムが標的となることを既に示しています。ロシア軍がウクライナに侵攻した際、ロシア軍のハッカーとされる人物がVia-Sat衛星システムを標的とし、ワイパーマルウェアを配布して人々のルーターを破壊し、オフライン状態に陥れました。ヨーロッパでは約3万件のインターネット接続が遮断され、その中には5,000基以上の風力タービンも含まれていました。
「これらのシステムは重要なインフラなので、どれほど安全であるかを評価することが重要だと思います」とウーターズ氏は言う。「このようなアンテナにアクセスするのは非常に簡単なので、特定の人物がこの種の攻撃を試みるのは、それほど突飛な話ではないと思います。」
2022年8月10日午後5時(東部標準時)更新:ウーターズ氏のカンファレンス講演後、Starlinkはシステムのセキュリティ確保方法を説明した6ページのPDFを公開しました。「今回の攻撃は技術的に非常に印象的で、当社のシステムにおいてこの種の攻撃が確認されたのはこれが初めてです」と文書には記されています。「侵入的な物理的アクセスを持つ攻撃者は、Starlinkキット1つのIDを使用して、そのキットを装って悪意のある行為を行うことができると予想されるため、『最小権限』の設計原則に基づき、システム全体への影響を抑制しています。」
Starlinkは、攻撃にはユーザー端末への物理的なアクセスが必要であることを改めて強調し、グリッチプロセスによって侵害されたセキュアブートシステムは、その端末1台のみに影響を及ぼしていることを強調しています。Starlinkシステム全体のより広範な部分は影響を受けません。「通常のStarlinkユーザーは、この攻撃の影響を心配したり、何らかの対応策を講じたりする必要はありません」とStarlinkは述べています。
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
