私たちのチームは、ロケーティング・システム全体のセキュリ ティを危険にさらすために、これらがどのように操作されるかを実証しました。
最近、私たちは UWB ベースの RTLS のもう一つの一般的なソリューションであるUbisense Dimension43D トラッキング・システムを分析することにしました。これらのセンサーは、防衛、製造、ヘルスケア、輸送管理などの産業分野で世界的に使用されており、生産に使用される機器、工具、キット、コンポーネントの正確な位置を追跡することで、プロセスの効率を改善します。しかし、他のUWB RTLSと同様に、このシステムも、情報の機密性、完全性、可用性が重要な役割を果たす、病院患者の位置や移動の追跡、コンタクトトレース、ジオフェンシングなど、よりセンシティブなユースケースに導入されています。
このブログでは、Sewio および Avalue システムで見つかった脆弱性と同じ脆弱性を Ubisense RTLS で再現できた方法を説明し、推奨される緩和策を共有します。CISA はまた、UWB RTLS が各セクターに広範に導入されていることに関連するセキュリティリスクを資産所有者に認識してもらうため、業界全体の警告を確定している最中です。Nozomi Networks のお客様のために、当社のソリューションはUbisense Dimension4 RTLSをサポートするように更新され、これらのシステムに対する攻撃を特別に検出できるようになりました。
リアルタイム測位システム、到着時差、到着角の紹介
リアルタイム・ロケーティング・システム(RTLS)は、GPSが不正確であったり、効果がないような屋内環境において、特に資産や人の位置を特定するために無線周波数信号(例えばUWB)を使用する。この技術は3つの主要コンポーネントから構成されている:
- タグは、人が身につけたり、対象物に設置したりするセンサーで、定期的にUWB信号をアンカーに送信する;
- アンカーは、施設や場所の戦略的スポットに配置され、タグからのUWB信号を受信し、イーサネットまたはWi-Fi接続を介して中央測位サーバーと関連データを送信する;
- 中央測位サーバーは、アンカーからのデータを受信し、タグの位置を計算し、その位置をユーザー・インターフェースに保存または表示する。
従来の UWB RTLS(Sewio システムや Avalue システムなど)は、1 つのメッセージの相対的な到着時間に基づいてタグの位置を特定する技術である到着時間差(TDoA)を活用している。これらのシステムでは、アンカーは2種類の情報をサーバーに送信します:
- サーバーがアンカーの時計を比較し、共通の時間概念を確立するための同期メッセージ;
- アンカーがタグからのUWBメッセージを受信した時刻を含む到着時刻メッセージは、サーバーによってリアルタイム位置を導き出すために使用される。
Ubisense RTLS は、平均的な UWB RTLS と比較して、到着時間の関連付けに重要な違いがある:
- ユビセンス・システムでは、TDoAに加えて、信号の到来角度を推定することで、各アンカーへの信号の到来方向に関する情報を提供するAoA(Angle of Arrival)も利用しています(図1)。複数のアンカーからのTDoAとAoAの測定値を組み合わせることで、N個のアンカー(TDoAのみのソリューションのようにN+1個ではない)でN次元のタグの位置を高精度に推定することができます;
- タイミングを同期させるために、アンカーはセカンダリー・デイジーチェーン・イーサネット接続か、タイミング・ディストリビューション・ユニットというオプションのデバイスを介して、互いに直接通信する。これにより、アンカーは互いに同期を保ち、サーバーは継続的に共通の時間概念を計算する負担から解放される。
リバースエンジニアリングと脆弱性テスト
Ubisense UWB RTLSで位置情報のためにやり取りされる通信を特定するため、アンカーとサーバー間でやり取りされるすべてのネットワークトラフィックをネットワーク・スイッチのスパン・ポート経由でキャプチャしました。分析したところ、ポート36776(図2)のUDP通信内のいくつかのネットワークパケットに、実験室で移動中のタグの平文IDが含まれていることがわかりました。不思議なことに、実験室に設置された3台のアンカーのうち、2台だけがこの種のメッセージを通信していました(図3:サーバーは172.16.6.34、アンカーは172.16.6.37、40、41)。
サーバーをチェックすると、「ubisense_location_cell_manager.exe」というプロセスが同じポートでリッスンしていることがわかった。我々のチームは、タグの位置に関する追加情報を取得するためにリバースエンジニアリング活動を開始した。最終的に、図4に示すように、冗長なログメッセージによってネットワークパケットを解析する方法を特定しました。これにより、パケットに含まれるバイト列とそのセマンティクスを関連付けることができた。
驚くべきことは、変数 "v34"、"v36"、"v35 "がそれぞれ、タグのX、Y、Z座標を即座に明らかにしたことである。これは、アンカーが互いに同期しているため、タグの最終的な位置を即座に計算してサーバーに送信するために必要な情報をすべて持っており、サーバーがこのタスクから解放され、ネットワーク通信の量が削減されたためだと推測される。
しかし、このことは、受動的盗聴や能動的なトラフィック操作攻撃を行う可能性を大幅に増加させることも強調しなければならない。実際のところ、従来のTDoAソリューションでは、攻撃者はアンカーの位置を再構築し、収集したタイムスタンプにTDoAアルゴリズムを適用してタグの位置を取得する(または逆のプロセスでタグを操作する)必要があったが、ここでは、他の前提条件なしに、ネットワークパケット内の情報を抽出(または上書き)するだけで十分である。これらのユビセンス・システム用のスニッフィング・ツール(図5)の開発は、以前に分析したSewioおよびAvalueシステム用に作成する必要があったものに比べて、はるかに単純であることが判明した。
さらに、追加のテストでは、パケットに暗号化保護が適用されていないことが確認された。このため、サーバーが読み取ったパケットに注入する操作データを素早く作成し、タグの関連位置を絶対的な精度で変更する可能性がある(図6)。
潜在的な影響の度合いは、これらのシステムの最終的な目的によって異なります。RTLS が生産ラインにおける工具の構成を自動的に管理する(例えば、工具の位置と締め付ける部品に基 づいて適用トルク値を変更する)ために使用される場合、その影響は、攻撃者が工具を間違えて最終製品に損害を与え る可能性があることです。RTLS が、接触トレースの目的で病院内の患者の位置を追跡するために採用されている場合、位置の変更によっ て、誤った位置の接触が記録されたり、真の接触が隠されたりする可能性があり、対象となる被害者の生命に間接的な影響 を及ぼす可能性があります。
GitHubリポジトリ "UWB RTLS "を更新し、UbisenseシステムのネットワークトラフィックのPCAPと位置情報パケットのWiresharkディセクタを追加しました。こちらからダウンロードできます。
緩和策
SewioやAvalueのシステムと同様に、ユビセンスがこの設計上の選択を直接修正し、既存の通信の上にトランスポート・セキュリティ層を追加することは問題があることが判明した(これらの理由のいくつかについては、ホワイトペーパーで検証している)。
資産所有者に対する一般的な推奨は、UWB RTLS バックホール・ネットワーク全体を隔離しておくこと、そして無許可の行為者が足場を築くことを防ぐために、ネットワークへのアクセスを物理的および論理的に保護することである。
もう1つの緩和策は、攻撃者がタグの座標を収集するために中間者(MitM)攻撃を行うことを余儀なくされるため、継続的な監視システムでネットワークを保護することである。新しいARPフレームやノード間の新しいリンクなどのシグネチャを監視することで、脆弱性と脅威の検出システムは、進行中のMitMの試みを迅速に検出することができます。
結論
UWB RTLSは、高精度でリアルタイムの屋内位置情報サービスを提供することで、ビジネスのあり方に革命をもたらしました。ヘルスケアや小売業から物流や製造業に至るまで、様々な分野で業務効率の改善、資産の可視性の向上、安全性の強化に役立っています。
他の無線プロトコルと比較すると、UWB(IEEE 802.15.4z標準の改正を伴う)は一般に、より強力な耐障害性を提供し、サイバー敵による攻撃の機会を少なくします。しかし、システムの全体的なセキュリティ態勢を評価するには、攻撃者は常にその最も弱いリンクを活用しようとするため、チェーン全体を評価することが極めて重要です。
この記事では、Black Hat USA 2022 で発表された Sewio および Avalue RTLS の脆弱性が、さまざまな用途に使用されているもう 1 つの一般的な UWB RTLS である Ubisense Dimension4 にも影響することを確認しました。私たちは、これらやその他の UWB RTLS を導入している資産所有者に対し、特にそのシステムがセーフティクリティカルな目的で使用されている場合は、提案されている緩和策のいずれかを実施するよう強く推奨します。
