出典:Carlos Castilla / Alamy Stock Photo
セキュリティ研究者のGjoko Krsticが調査からようやく浮上したとき、彼は1週間眠っていなかった。
「目まいがしました。新しいバグを見つけるのが止まらなかった」と彼は言う。「だからこの調査をプロジェクト・ブレインフォグ(脳の霧)と名付けたんです。」
この名前は定着した――というのも、この調査で発見された脆弱性は800件以上、その多くがゼロデイであり、世界30カ国220都市以上のビルオートメーションシステムに影響を与えていたからだ。これらは理論上の欠陥ではない。実際のインフラ――病院や高校、空港、スタジアム、政府機関ビルなど――に影響を及ぼすものだ。
Black Hat Europe 2025で、Zero Science Labの攻撃的セキュリティ研究者であるKrsticは、プロジェクト・ブレインフォグ:スマートシティを一棟ずつハッキング ― 千のゼロデイの街という講演を行う予定だ。彼の講演では、忘れ去られた1行のコードと、長年にわたる企業合併が、現代都市をリモート乗っ取りに対して脆弱にした経緯が語られる。
18年眠っていたコード
物語は、Krsticがセキュリティオペレーション中に公開されたビル管理コントローラーを偶然発見したことから始まる。さらに調査を進めると、2008年にAmerican Auto-Matrixによって書かれた18年前のコードベースが見つかった。それは後にアイルランドのCylon Controlsに買収され、最終的には2020年にテック企業ABBに吸収された。
「コードベース全体が実際に古く、18年もの間、セキュリティコードレビューが一度も行われていませんでした」と彼は言う。
Krsticが発見したものは、産業用制御システム(ICS)の脆弱性のベストヒット集のようなものだった:バックドア、暗号化されていないファームウェア、デフォルトの認証情報、バッファオーバーフロー、認証不要のリモートrootエクスプロイトなどだ。ベンダーは「これらのデバイスはインターネット接続を想定していない」と主張したが、実際にはアップデートを受けるためにインターネット接続が必要だった。
グローバルな露出サプライチェーン
Krsticによれば、公開されたシステムを特定するのは驚くほど簡単で、彼の調査結果は問題の広がりを明らかにした。コントローラーは、世界最大級の企業が運営する施設、テクノロジーキャンパス、矯正施設、さらには娯楽施設にも組み込まれていた。オンラインで1回リクエストするだけで、建物名が表示された――ログイン不要で。そこにはアイスリンク、オフィスタワー、さらにはロンドンの有名な「ウォーキートーキー」ビルも含まれており、数百社が入居している。
これらの脆弱性は、悪意ある攻撃者が遠隔から消火システムや空調システムを作動させ、オフィスを水浸しにしたり、重要な機器を損傷させたりするなど、現実世界で深刻な影響を及ぼす可能性がある。「莫大な経済的損害を与え、現実の物理的被害を引き起こすことができる」と彼は言う。
企業対応のつぎはぎ
Krsticが最初にABBに通知した際、同社はいくつかの問題を修正したが、脆弱性にCVE(共通脆弱性識別子)を割り当てなかった。また、同社が脆弱性の分類や深刻度スコアを付ける方法にも一貫性がなかった。軽微なバグにCVSSで最大の10.0スコアを付ける一方で、認証不要のリモートコード実行脆弱性には6.0しか付けなかったとKrsticは言う。
「彼らは『これらのシステムはオンラインにすべきではない』と言いました」と彼は言う。「その後、サイレント修正――CVEもチェンジログも透明性もないパッチ――を出し始めました。」
その後数か月にわたり、Krsticとベンダーの間のコミュニケーションは次第に緊迫したものとなった。このプロセスのストレスと、発見の膨大な量がプロジェクト名の由来となった。
「圧倒されました」とKrsticは認める。「深く調べるたびにゼロデイが見つかる。頭がクラクラしました。」
M&Aリスクのケーススタディ
Krsticにとって、プロジェクト・ブレインフォグは単なる製品ラインの話ではない。これは、合併・買収に伴うサイバーセキュリティの死角への警鐘だ。IEC 62443やEUのサイバー・レジリエンス法(CRA)などの業界標準は、今後のデューデリジェンスの指針となりうる。
「大手ベンダーが小規模ベンダーを買収すると、そのレガシーも引き継ぐことになります」と彼は言う。「しかし、統合前に適切なコード監査やペネトレーションテストを行う企業はほとんどありません。こうして脆弱性は何十年も、そして大陸をまたいで引き継がれていくのです。」
ベンダーはその後、公開システムの数を約1,000から200に減らしたが、Krsticによれば多くは依然としてオンラインのままだ。
「彼らは改善しました」と彼は言う。「今ではファームウェアのダウンロードに認証が必要になり、一部のハードウェアも交換されています。しかし、まだ80%しか修正されていません。残りはまだ残っています。」
彼がセキュリティ専門家や施設所有者に伝えたいメッセージは、「自分のネットワークに何があるかを知ること」だ。
「もしあなたのビルがオートメーションで動いているなら、どのベンダーが作ったのか、誰がファームウェアを所有しているのか、アップデートされているのかを知る必要があります」と彼は言う。「多くの組織は、自分たちのビルを誰が管理しているのかさえ把握しておらず、どんなシステムが稼働しているのかも分かっていません。」
