国立研究開発法人海上・港湾・航空技術研究所 SECCON 2017 東京電機大学(東京都) Feb. 17, 2018 GPSハッキング:GPSのセキュリティ 坂井 丈泰 <sakai@mpat.go.jp> 国立研究開発法人海上・港湾・航空技術研究所
Introduction GPS(Global Positioning System:全地球測位システム)・GNSS SECCON 2017, Feb. 2018 Introduction GPS(Global Positioning System:全地球測位システム)・GNSS 人工衛星が送信する無線信号を使用して、ユーザ端末の現在位置を地球上のどこでもリアルタイムに知ることのできるシステム。 もともと米軍が開発した軍用システムだが、一部機能が民間用途に開放されている。 類似のシステム(まとめてGNSS=Global Navigation Satellite Systemと呼ぶ): ロシアGLONASS、欧州Galileo、中国BeiDou、日本の準天頂衛星システムQZSS(GLONASS以外はいずれも整備中) GPS(GNSS)のハッキング GPS/GNSSの性質上、妨害やスプーフィング(なりすまし)が技術的に可能。 最近はソフトウェア無線技術が進展しており、脅威が増している。 内容: (1) GPSの基礎知識・GPS信号の特徴 (2) GPSに対する攻撃:妨害やスプーフィングの可能性 (3) 対策の必要性 など
Global Positioning System SECCON 2017, Feb. 2018 人工衛星による位置測定 GPSの場合は 2万km上空を周回 4機以上の衛星 からの電波が必要 (地表前提なら3機以上) 球面の交点として 位置を算出する 位置情報ユーザ 測位衛星(GPS衛星)群 GPS衛星 電波により 距離を測定 Global Positioning System 全地球測位システム(米国) ユーザ (GPS受信機)
世界の衛星航法システム SECCON 2017, Feb. 2018 (内閣府資料 http://www8.cao.go.jp/space/comittee/dai4/siryou3-5.pdf)
GPSの概要 24衛星(6軌道面、高度約2万km) 標準測位サービス(SPS):軍民共用 精密測位サービス(PPS):軍用 SECCON 2017, Feb. 2018 GPSの概要 24衛星(6軌道面、高度約2万km) 実際は30機以上の衛星が稼動中 軌道傾斜角55度、周期11:58 標準測位サービス(SPS):軍民共用 L1(1575.42MHz):C/Aコード(1.023Mcps) 精密測位サービス(PPS):軍用 L1(1575.42MHz):P/Yコード(10.23Mcps) L2(1227.6MHz):P/Yコード(10.23Mcps) スペクトラム拡散:CDMA、測距 衛星のPRN番号(1~37):拡散コード 航法メッセージ(50bps):軌道情報 1978~ Block I プロトタイプ 1989~ Block II/IIA 実用型(SA機能あり) 1997~ Block IIR 衛星間リンク、Autonav 2005~ Block IIR-M 第二民間信号(L2C) 2010~ Block IIF 第三民間信号(L5) (FAA HP)
GPSが送信する信号 この間の距離を測定する (およそ2万kmくらい) 距離の測定・軌道情報の伝達 (信号の伝達は一方向のみ) 受信信号 SECCON 2017, Feb. 2018 GPSが送信する信号 この間の距離を測定する (およそ2万kmくらい) 送信電力は電球1個分 (およそ100Wくらい) 距離の測定・軌道情報の伝達 (信号の伝達は一方向のみ) ※ 信号の形式・内容は文書で公開されていて、暗号化もされない 受信信号 受信機 内部の信号 時間差t タイミングを合わせることで、伝搬時間を測定する → GPS衛星-ユーザ受信機の距離がわかる
チャネル数分の回路(FPGA)=衛星別に処理 SECCON 2017, Feb. 2018 GPS受信機の構成 GPS受信機 LNA NCO カウンタ 位置を 計算 フィルタ AGCアンプ ミキサ 局部 発振器 相関検出器 数値制御発振器 チャネル数分の回路(FPGA)=衛星別に処理 位置情報出力 アンテナ 距離情報 IF(中間周波数) AGC(Automatic Gain Control)アンプ:信号を取り出すのに適切なゲインで増幅 IF(中間周波数)から先はディジタル回路で処理可能(ソフトウェア無線技術)
位置の計算に必要な情報 ユーザ GPS衛星 測距信号 データ復調 01011010… 距離測定 擬似距離 航法メッセージ クロック補正値 SECCON 2017, Feb. 2018 位置の計算に必要な情報 ユーザ GPS衛星 測距信号 データ復調 01011010… 距離測定 擬似距離 航法メッセージ 複数のGPS衛星を利用 (球面の交点) クロック補正値 軌道情報 測位計算 衛星位置 位置情報 時刻・経緯度など
もっと詳しく知りたい方は… 「GPS技術入門」 東京電機大学出版局 「GPSのための実用プログラミング」 東京電機大学出版局 SECCON 2017, Feb. 2018 もっと詳しく知りたい方は… 「GPS技術入門」 東京電機大学出版局 「GPSのための実用プログラミング」 東京電機大学出版局
GPS信号のポイント 信号が微弱 信号の形式・内容が公知 正当な信号か検証する仕組みがない SECCON 2017, Feb. 2018 GPS信号のポイント 信号が微弱 2万km彼方に100Wの電球があるのと同じレベル。 同じ周波数で強力な電波があったらとても受信できない。 信号の形式・内容が公知 技術力さえあれば、誰でもGPS受信機をつくれる。 技術力さえあれば、誰でもGPS信号をつくれる。 正当な信号か検証する仕組みがない GPS信号は、暗号化はされておらず、認証情報もない。 第三者が生成した信号を、正当な信号と区別できない。
GPSのセキュリティ:意図しない場合 意図しないもの:電波干渉 SECCON 2017, Feb. 2018 GPSのセキュリティ:意図しない場合 意図しないもの:電波干渉 無線機器の運用・故障などにより、GPS衛星が送信している電波(周波数1.6GHz帯)に干渉してしまうもの。 帯域フィルタの故障などで出た高調波による事例がいくつか報告されている。 症状:GPSが使用できなくなる。 室内でGPSを使用するために設置するリピータの電波が漏れた例。 屋上でGPS信号を受信して室内に再放射するといった用途の製品がある。 シールドが不十分だったりドアが開いていたりすると、電波が周囲に漏れる。 症状:GPSにより測定される位置が 大きくずれる。 市販されているリピータの例 (測位衛星技術(株) GPSRKL12G)
電波干渉の例 GPSの受信電力は微弱 他の電波応用システムからの干渉を受けやすい 実際に干渉を受けた事例が多数報告されている SECCON 2017, Feb. 2018 電波干渉の例 GPSの受信電力は微弱 他の電波応用システムからの干渉を受けやすい 実際に干渉を受けた事例が多数報告されている GPSに影響する電波を使う通信事業が米国で認可された 例もあった(後に認可撤回) 電波規制:干渉源の位置を特定する探索装置が必要 LightSquaredが計画した周波数 サンディエゴでの障害事例(2007年1月) 干渉源を探索した例(GIANTシステム)
GPSのセキュリティ:意図的な場合 意図的なもの(1):ジャミング(妨害) ソウル周辺における事例(2010年頃から) SECCON 2017, Feb. 2018 GPSのセキュリティ:意図的な場合 意図的なもの(1):ジャミング(妨害) ソウル周辺における事例(2010年頃から) 航空機がGPSを利用できない事例がしばしば報告されている。 PPD(Personal Privacy Device) GPSを妨害する電波を発射する装置。 米国でトラック等のドライバーが自己の 位置を知られるのを嫌い、使用する例が あった(当時は合法だった)。 現在は違法とされている。 症状:GPSを利用できなくなる。 強力な妨害波ほど広い範囲のGPS受信機を 妨害できるが、送信源を発見・特定するのは 容易になる。 市販されていたPPDの例
ニューアーク空港(ニュージャージー州)の状況 SECCON 2017, Feb. 2018 ジャミングの例 GPSを妨害するのは難しくない 米国ではPDD(Personal Privacy Device)と称して販売されていた(当時は合法) トラック運転手等が運行実績を会社に知られないため GBAS(GPSによる航空機着陸誘導システム)地上装置の誤動作の原因と判明 現在は規制対象。しかし、容易に妨害できる状況には変わりない GBAS地上装置のアンテナ フリーウェイ 市販PDDの例 ニューアーク空港(ニュージャージー州)の状況
ジャマーによる影響の測定例 S/N 高 妨害波 強 妨害波 弱 妨害波を強くすると、S/N(C/N0)が低下する。 SECCON 2017, Feb. 2018 ジャマーによる影響の測定例 S/N 高 妨害波 強 妨害波 弱 GPS衛星の 番号 (福島・齊藤:測位航法学会論文誌 Vol.6 No.1) 妨害波を強くすると、S/N(C/N0)が低下する。 低下の程度は、ジャマーの種類によって異なる。
問題点 電波干渉やジャミングを検知しても、発信源を特定するのが困難。 自動車のように移動する場合はさらに難しい。 SECCON 2017, Feb. 2018 問題点 電波干渉やジャミングを検知しても、発信源を特定するのが困難。 自動車のように移動する場合はさらに難しい。
GPSのセキュリティ:意図的な場合 意図的なもの(2):ミーコニング GPS信号をそのまま、あるいは多少の加工をして再送信するもの。 SECCON 2017, Feb. 2018 GPSのセキュリティ:意図的な場合 意図的なもの(2):ミーコニング GPS信号をそのまま、あるいは多少の加工をして再送信するもの。 微弱な電波でもGPSを妨害できる。 RFレコーダによりGPS信号をプレイバックすれば簡単。 症状:GPSにより測定される位置が大きくずれる。 時刻情報の照合が有効だが、統一的な対策はない。 ごく短時間の遅延は対策が難しい。 ただし、ユーザ受信機にて算出される 位置をコントロールすることはできない。 RFレコーダ・プレイヤーの例 (測位衛星技術(株) MP7200)
GPSのセキュリティ:意図的な場合 意図的なもの(3):スプーフィング(なりすまし) GPS信号を独自に生成して送信するもの。 SECCON 2017, Feb. 2018 GPSのセキュリティ:意図的な場合 意図的なもの(3):スプーフィング(なりすまし) GPS信号を独自に生成して送信するもの。 微弱な電波でもGPSを妨害できる。本物のGPS信号と区別できない。 最近は、ソフトウェア無線技術の進展により安価に実行できるようになってきた。 症状:GPSにより測定される位置が大きくずれる。 攻撃者の意図する位置を算出させることが可能。 (Septentrio社HPより)
船舶を乗っ取った実験例 スプーフィング 送信機 予定経路 スプーフィングされた位置 SECCON 2017, Feb. 2018 (Todd Humphreys, Secure PNT for Autonomous Systems, Stanford PNT Challenges and Opportunities Symposium, Nov. 2013)
GPSのセキュリティ:意図的な場合 意図的なもの(4):位置情報の偽装 背景:利用環境の変化 SECCON 2017, Feb. 2018 GPSのセキュリティ:意図的な場合 意図的なもの(4):位置情報の偽装 GPS受信機の出力に対して意図的な操作をするもの。 位置情報は標準フォーマットで出力される場合が多い。 インターフェースはシリアル通信やイーサネットなど。 ソフトウェアのみによる偽装も可能。 スマートフォン内部のAPIを操作するなど。 「ポケモンGo」で問題となった。 背景:利用環境の変化 GPSの脆弱性は開発当初から指摘されてきている。 送信電力が微弱で、しかも信号の形式や内容が公知。 しかし、利用者自身がGPSによる位置情報を必要としており、妨害の動機がない。 近年における位置情報の利用形態の変化 GPSによる現在位置管理、交通規制や通行料課金といった用途がある。 利用者自身は位置情報を必要としておらず、むしろ妨害する動機がある。 ドローンによる配達など、第三者が妨害する動機付けもあり得る。 アプリケーション 位置情報 ここを 攻撃する GPS 受信機
GPSのセキュリティ:対策 対策の必要性 対策(1):GPS信号の暗号化 干渉及びジャミングについては、単に使用できなくなるだけ。 SECCON 2017, Feb. 2018 GPSのセキュリティ:対策 対策の必要性 干渉及びジャミングについては、単に使用できなくなるだけ。 必要な規制等を行う。 干渉を検知し、送信源を探索する手段を整備する。 ユーザとしては、代替手段を確保することが有効。 航空分野:APNT(Alternative Position, Navigation, and Timing)=もともとGPS以外の航法手段があるので、それらを引き続き活用する。 ミーコニングやスプーフィングについては、より積極的な対策が必要。 通行料課金やドローンによる配達を可能とするため。 まずは検出することが必要。できれば回避してGPSの利用を継続したい。 対策(1):GPS信号の暗号化 軍用信号:非公開の信号を使用する。 公開鍵暗号方式によりディジタル署名を施す方式。 正当な送信者であることをユーザが確認できる。 スプーフィング対策にはなるが、ミーコニングに対しては効果がない。 一方向通信なので、送信者とやり取りはできない。
GPSのセキュリティ:対策 対策(2):指向性アンテナの使用 SECCON 2017, Feb. 2018 GPSのセキュリティ:対策 対策(2):指向性アンテナの使用 指向性アンテナを使用して、GPS衛星が実際に存在する方向から到来する電波だけを受信する。 ミーコニングやスプーフィングの攻撃者は地上付近から送信するから。 パラボラアンテナやアレイアンテナなどを利用できる。 もともと雑音の小さい 受信方式として研究 されていた。 受信装置が物理的に大きくなる。 刻々と向きが変わる移動体では 利用しにくい。 欺瞞信号 ユーザ 正当な信号 指向性 アンテナ 攻撃者 向きが違うので 受信しない
GPSのセキュリティ:対策 対策(3):センサフュージョン(ハイブリッド航法) 対策(4):バックアップ手段を確保する SECCON 2017, Feb. 2018 GPSのセキュリティ:対策 対策(3):センサフュージョン(ハイブリッド航法) GPS以外の位置センサを併用し、矛盾をチェックする。 車両の場合は車速センサ(回転計)が手軽。 IMUセンサ(加速度・角速度を測定):小型化及びチップ化が進められている。 気圧高度計:標高データベースと比較・照合する。 CSAC(Chip-Scale Atomic Clock):チップサイズの原子時計(高精度クロック)。 その他、レーダやカメラなど。 ミーコニング・スプーフィングの対策として効果的。 対策(4):バックアップ手段を確保する GPS以外の位置センサをバックアップとして確保する。 航空分野:APNT(Alternative Position, Navigation, and Timing) もともとGPS以外の航法手段があるので、それらを引き続き活用する。 スプーフィングの検出にも有効。
GPSのセキュリティ:対策 対策(5):受信機ネットワーク 多数のGPS受信機の受信情報を比較・照合して、矛盾を検知する。 SECCON 2017, Feb. 2018 GPSのセキュリティ:対策 対策(5):受信機ネットワーク 多数のGPS受信機の受信情報を比較・照合して、矛盾を検知する。 攻撃者はGPS衛星と同じ位置に送信アンテナを設置することは不可能。 特定の地点のGPS受信機に対して攻撃した場合、他の地点では矛盾を生じる。 広い地理的範囲のGPS受信機のすべてに対して幾何学的に矛盾のないスプーフィングを行うことはできない。信号電力(AGCのゲイン)も矛盾する。 ネットワークに参加しているGPS受信機同士が、相互に情報交換をする方式など。 攻撃対象のユーザ 攻撃者 別のユーザ この位置での 各衛星の信号の 時間差を再現 同じスプーフィング信号は、 別の位置では矛盾を生じる 信号電力は どこでも同じ 攻撃者からの距離により 信号電力が変化する
Conclusion GPS信号を妨害・スプーフィングすることは可能 インフラ側の対策 SECCON 2017, Feb. 2018 Conclusion GPS信号を妨害・スプーフィングすることは可能 もともと、信号が微弱なので妨害は難しくない。 最近は安価な装置でスプーフィングを実行できるようになっている。 スプーフィング(なりすまし):攻撃者の意図する位置を算出させることができる。 GPSの利用が広がるにつれ、問題として認識されるようになった。 ユーザ自身や第三者による攻撃を想定する必要がある。 インフラ側の対策 電波干渉・ジャミングの早期検知・探索技術の確立、展開。 信号の暗号化や認証情報の提供。 ユーザ側の対策 センサフュージョンやバックアップ手段の確保。 受信機ネットワークによるスプーフィング検出。 問合せ先: 坂井 丈泰 (さかい たけやす) <sakai@mpat.go.jp> 国立研究開発法人海上・港湾・航空技術研究所