DEF CONから見えた宇宙のサイバーセキュリティ~「DEF CON 33」Aerospace Village 出展レポート~
毎年8月にアメリカ・ラスベガスのコンベンションセンターで開催される、国際的なセキュリティカンファレンス「DEF CON」。世界中からサイバーセキュリティの専門家が集まり交流する「DEF CON」では、参加者は皆、お互いの知識や経験、探求心や向上心に敬意を払い、知的好奇心を持って相手の話に耳を傾けます。その根底には技術者としての誇りと、純粋かつ真摯に技術と向き合う姿勢が感じられます。
今年GMOサイバーセキュリティ byイエラエはアジア企業として初めて、DEF CONの宇宙サイバー領域に関するエリア「Aerospace Village」にブースを出展。本記事ではブース来場者との交流を軸に、グローバル戦略部の韓 欣一(かん しんいち)が「宇宙のサイバーセキュリティ」についてレポートします。
「DEF CON 33」Aerospace Village ブース出展を決めたきっかけ
私たちが今回DEFCONにブースを出展することを決めたのは、「宇宙サイバーセキュリティ」という新しい領域に対して、世界に存在感を示したいと考えたからです。
これまで自動車やIoTなど多様な分野でセキュリティに取り組んできた我々は、宇宙を次なるフロンティアと位置づけました。人工衛星や地上局は、今や社会インフラに直結する重要システムであり、セキュリティの確立が不可欠です。その課題に真正面から挑む姿勢を示すために、私たちはアジア企業として初めてAerospace Villageでの出展に挑戦しました。
出展パートナーとして、韓国・慶熙(キョンヒ)大学校融合セキュリティ大学院のハッキングセキュリティ研究室「PWNLAB( https://pwnlab.kr/ )」に協力いただきました。彼らは国際的なハッキング大会での優勝経験があるホワイトハッカー集団で、国際的なドローンハッキング大会「HackTheDrone」の問題開発を手がけるなど、ドローンやIoT分野において豊富な実績があり、世界的に評価されるチームです。2024年に「HackTheDrone」にGMOサイバーセキュリティ byイエラエの脆弱性調査・研究チーム「GMOイエラエ」が世界1位を獲得したことをきっかけに交流を深め、宇宙セキュリティ領域での協業に至りました。
GMOサイバーセキュリティ byイエラエ、韓国・慶熙大学校と宇宙空間におけるサイバーセキュリティ分野で業務提携
~宇宙システムへのサイバー攻撃リスク解明に向けた共同研究を推進~
https://gmo-cybersecurity.com/news/20250325/
GMOイエラエ、ドローンの制御システムや通信に関する技術を競う「Hack the DRONE 2024決勝」で世界1位に
~「HITCON Cyber Range」でも世界3位と連続での上位入賞を果たす~
https://gmo-cybersecurity.com/news/20241105/
展示ブース・ワークショップの内容
今回のブースは「Automated security assessment for CCSDS protocols: Demo and Hands-on Workshop(CCSDSプロトコルの自動セキュリティ評価:デモとハンズオンワークショップ)」というタイトルで、宇宙機からのデータをファイル形式で転送するためのプロトコル「CSDS(Consultative Committee for Space Data Systems)」プロトコルを題材に、セキュリティ課題と解決策を体験できるデモとハンズオンを用意しました。
CCSDSプロトコルは信頼性と効率性を重視しており、標準的なセキュリティ実装ガイドラインも提供されています。しかし、そのガイドラインを正しく解釈し、システムに組み込むにはセキュリティの専門的な知識が不可欠です。そのため、専門家でなければ理解が難しい要件や、過去の実装経験がなければ適切なセキュリティ対策の実装が困難なケースも少なくありません。結果として、意図せずしてサイバー攻撃に対する脆弱性を残したシステムが生まれてしまうことがあるのです。
これらのセキュリティ問題を防ぐためには、宇宙衛星システムにおけるセキュリティの問題点を効率的に検知し、対策が打てるようなソリューションが必要となります。そこで我々は、CCSDSプロトコルをベースとして構築された宇宙衛星システムにおけるセキュリティ問題を効率的に検出することに焦点を当て、衛星と地上局間のCCSDS通信に介在するファイアーウォールシステムとして機能するプロキシシステムを開発しました。
このプロキシシステムはCCSDS通信をリアルタイムに解析し、リプレイ攻撃や暗号化の欠如といった典型的な脆弱性を検知し、自動的にレポートを生成する仕組みを持っています。Webの世界で言えば WAF(Web Application Firewall)やBurp Suiteの宇宙版とも言える存在です。 デモンストレーションのため、我々は実際の衛星運用を模した環境を構築しました。
地上局と衛星ソフトウェアにはそれぞれNASAのCOSMOSおよびcore Flight System、衛星挙動のシミュレーションには NASA 42 simulatorを利用しました。また、単なるソフトウェアシミュレーションにとどまらず、オンボードコンピュータ(OBC)やSDRベースのRFモデムといったハードウェアも活用し、リアルに近い「Hardware-in-the-loop」の環境を構築したことも特徴です。これにより、机上の議論ではなく、実際に起こり得るリスクを直感的に理解できる場を提供しました。
ブース来場者の反応
実際のデモでは、衛星テレコマンドのリプレイアタックやcFSバッファオーバーフロウ等の8パターンの攻撃シナリオを用意し、来場者は「攻撃を受けると衛星がどのように挙動するのか」「プロキシはそれらの攻撃をどう検知するのか」を目の前で体験することが出来ました。特に、CCSDSの仕様が想定していない内部ペイロードデータの扱いや、ガイドラインに従わず実装された場合の脆弱性についても解説し、来場者の関心を集めました。
DEF CONならではの多様なバックグラウンドを持つ来場者が、私たちのブースに足を運んでくれました。宇宙業界関係者や政府関係者、ホワイトハッカーをはじめ、幅広い層と宇宙セキュリティに関する意見交換を行うことができました。
特に、Aerospace Villageはこれまで長年ほぼ米国企業のみが出展していたため、アジア企業として初めて参加した私たちのブースは大きな注目を集めました。「GMOサイバーセキュリティ byイエラエってどんな会社?」と名刺を求められる場面も多く、宇宙産業に携わる、あるいは関心を持つ日本の大手企業の関係者からも声をかけていただきました。
会場全体が技術好奇心であふれる熱気に包まれており、ブースを通じて「宇宙セキュリティは次の大きなテーマである」という手応えを強く感じました。同時に、国際的な議論や協力の広がりを予感させる貴重な機会にもなりました。
「DEF CON Bahrain」への出展の誘い
特に嬉しかったのは、現地で「DEF CON Bahrain」のオーガナイザーから「ぜひ11月のBahrainでも出展してほしい」と声をかけていただいたことです。中東地域は宇宙関連事業が盛んに広がりつつある市場であり、今回の出展をきっかけに新たな扉が開かれたと感じています。
DEF CON Bahrain:https://defcon.org/html/defcon-bahrain/dc-bahrain-index.html
サイバーセキュリティの専門家から見た宇宙
宇宙はもはや「遠い存在」ではありません。人工衛星は通信・放送、金融取引、物流・交通、気象観測、防災システムなど、私たちの暮らしを支える幅広い分野で利用されています。これからは更なる地球観測や月・火星探査、さらには宇宙旅行といった新しい活動にも活用が広がっていくでしょう。
一方で、こうした衛星や地上局はサイバー攻撃のリスクにもさらされています。もし宇宙システムが不正に操作されたり、通信が妨害されたりすれば、その影響は地球上の社会に直接波及し、インフラやサービスに深刻な混乱をもたらしかねません。
だからこそ、宇宙を「未来の社会を便利にする領域」として活用するためには、サイバーセキュリティの視点を欠かすことはできません。宇宙を守ることは、社会の利便性と安全性を両立させるために不可欠なのです。
私たちは今後も宇宙セキュリティに挑戦し、安心・安全に宇宙が利用できる未来を支える存在でありたいと考えています。
■「DEF CON 33」関連記事(GMOインターネットグループ 技術情報)
【前編】「DEF CON 33」 CTFの舞台裏|「Takumi byGMO」が証明したAIの実戦力https://developers.gmo.jp/technology/69220
【後編】「DEF CON 33」 CTFの舞台裏|GMOサイバーセキュリティ byイエラエが語る、技術と連携でつかんだ世界トップの景色
https://developers.gmo.jp/technology/69246
