産業用位置情報システム RTLS に深刻な脆弱性:Black Hat で中間者攻撃が証明される

RTLS systems vulnerable to MiTM attacks, location manipulation

2022/08/16 BleepingComputer — セキュリティ研究者たちが、UWB (Ultra-Wideband) の RTLS (Real-Time Locating Systems) に影響を与える複数の脆弱性を発見した。この脆弱性の悪用に成功した脅威アクターは、中間者攻撃を行い、タグの地理位置データを操作できるという。 RTLS 技術の用途は、産業環境/公共交通機関/ヘルスケア/スマートシティなどに広がっている。その主な役割は、追跡タグ/信号受信アンカー/中央処理システムを使用した、ジオ・フェンシング・ゾーンの定義により、安全を支援することにある。

General architecture of RTLS systems (Nozomi)

危険地帯への立ち入り制限や、危険地帯にいる人の位置に改ざんが生じると、人々の安全や健康において、悲惨な結果を招くことになる。

Nozomi Networks の研究者たちは、Black Hat 2022 の期間中に、これまで文書化されていなかったセキュリティ上の欠陥を明らかにし、昨日のホワイトペーパーで技術的な全容を発表した。

暗号化されていない通信

Nozomi のアナリストたちは、上記の安全機能をサポートする、2つの広く使用されている RTLS ソリューションである、Sewio Indoor Tracking RTLS UWB Wi-Fi kit と Avalue Renity Artemis Enterprise kit に注目した。

トラッキング・タグは UWB 信号でアンカーと通信し、アンカーはイーサネットまたはWi-Fi を介して中央コンピュータとデータの送受信を行う。そこで Wi-Fi を選択した場合には、それぞれのデバイスでの通信には、カスタム・バイナリー・ネットワーク・プロトコルが使用される。しかし、データが暗号化されていないため、Wireshark でネットワークパケットをキャプチャすれば、リバース・エンジニアリングが可能になる。

Captured Avalue network packet
Captured Avalue network packet (Nozomi)

これらのパケットをキャプチャするための前提条件は、WPA2-PSK で保護された Wi-Fi ネットワークに侵入することである。しかし、どちらのベンダーもインストール時に再設定できない可能性のある、脆弱なデフォルト・パスワードを使用しているため、多くのケースで簡単に突破されてしまう。

遠隔地の攻撃者がアンカーの位置を計算し、トラッキング・タグの相対位置を導き出すことに成功した場合は、同期パケットと測位パケットを偽造することで、任意の開山値を中央コンピュータに送ることが可能になる。

Nozomi によると、アンカー位置の重要な情報は、アンカーポイントからのタグの距離を示す、送信電力レベルとタイムスタンプにより導き出せるという。しかし、対象エリアに物理的にアクセスできれば、この作業は簡略化される。

Transmission power levels in the packet
Transmission power levels in the packet (Nozomi)

データ操作とは別に、攻撃者はストーキングや偵察のために、あるいは、貴重品の位置を特定するために、資産や人の位置を追跡するための盗聴を行える。

Obtaining the position of a tag
Obtaining the position of a target tag (Nozomi)

タグの動きを記録し、攻撃時に再生することで、たとえば警備員のパトロールのような、リアルなタグの動きを模倣することも可能だという。

ジオフェンシングの改ざん

RTLS システムへのアクセスに成功した攻撃者は、必要に応じてタグの位置を変更し、制限区域への入場の不正許可や、誤報の発生により、生産ラインのオペレーションを中断することも可能だ。

Placing a tag inside a protected zone
Placing a tag inside a protected zone at will (Nozomi)


さらに、周囲に誰もいないかのように動作し続ける機械の、安全ゾーンの近くの外に人員が移動してしまうと、身体的に危害がおよぶ可能性も生じる。

Altering the position of a target tag
Altering the position of a target tag (Nozomi)


タグで追跡される貴重品の窃盗を目的とする場合には、タグの位置を操作して保護区域内で安定しているように見せかけ、アラームを発生させずに、監視区域から物理的に取り除くことができる。

Nozomi は、RTLS システムの管理者は、ファイアウォールを用いてアクセスを制限し、ネットワークに侵入検知システムを追加し、データの暗号化にはパケット同期のカウンタ値付き SSH トンネリングを使用することを提案している。

産業用位置情報システム RTLS に深刻な脆弱性とのことですが、この記事を読む限り、かなり無防備な状態で運用されていることが分かります。似たような話としては、7月19日の「GPS トラッカーに深刻なゼロデイ脆弱性:150万台の産業用車両に影響を及ぼす MiCODUS MV720 の問題とは?」があります。また、関連情報としては、3月11日の「フィンランドのロシア国境付近で GPS 干渉が異常に増加している」や、3月17日の「欧州各国が警告:ロシアのウクライナ侵攻に伴う GPS 停止が相次いでいる」などがあります。よろしければ、ご参照ください。

%d bloggers like this: