時刻操作によりハッカーはY2K38バグを今すぐ発動可能
広く知られている時刻関連のソフトウェアバグは、十数年後に発生した場合に大きな混乱を引き起こす可能性がありますが、実際にはハッカーによって今日でも悪用可能であると研究者は警告しています。
「2038年問題」またはY2K38として知られるバグの一つは、2038年1月19日にコンピュータが誤動作を起こす可能性があります。この問題は、Unixエポック(1970年1月1日)からの経過秒数を32ビット整数で保存するシステムに影響します。32ビット符号付き整数変数の最大値は2,147,483,647であり、これは2038年1月19日に到達します。この数値が限界を超えてオーバーフローすると、システムは日付を負の数として解釈し、1901年12月13日にリセットされます。
同様に、「2036年問題」も2036年に大きな混乱を引き起こす可能性があります。この問題はネットワークタイムプロトコル(NTP)のエポック(1900年1月1日)の使用に関連しています。これは古いバージョンのNTPを使用するシステムに影響し、2036年2月7日に早期に発生します。
これらのロールオーバーバグを発動させると、システムがクラッシュする可能性があり、混乱を引き起こすだけでなく、重大なサイバーセキュリティ上の影響も及ぼします。
重要インフラで使用される産業用制御システム(ICS)やその他の運用技術(OT)システムの場合、タイムスタンプのエラーが連鎖的な障害を引き起こし、システムのクラッシュ、データの破損、安全プロトコルの失敗を招き、物理的な損害や人命へのリスクにつながる可能性があります。
さらに、多くのサイバーセキュリティシステムは正確な時刻に依存しています。例えば、SSL/TLS証明書、ログ記録やフォレンジックソリューション、時刻ベースの認証やアクセスシステムなどです。攻撃者はY2K38バグを悪用してセキュリティを回避したり、システム障害を引き起こしたり、痕跡を隠したり、不正アクセスを得たりすることができます。
2036年/2038年問題は、2000年に発生する可能性があったY2Kバグを思い起こさせます。Y2Kバグは、メインフレームやビジネスシステムが年を下2桁だけで扱っていたため、2000年を1900年と解釈して広範な障害を引き起こす可能性がありました。Y2Kバグは、コードの更新、ソフトウェアのアップグレード、古いハードウェアの交換、新しい標準の導入など、世界的な取り組みによって対処されました。
しかし、2036年/2038年問題は対処が容易ではありません。なぜなら、数百万台の特殊な組み込みシステムを含む非常に多くのシステムに影響し、それらの多くは更新が困難または不可能だからです。
さらに、Y2Kバグは多くの場合ソフトウェアレベルで修正されました。一方、2036年/2038年問題は、システムアーキテクチャの根本的な変更、つまり32ビット整数から64ビット整数への移行が必要となる場合が多く、特に古いハードウェアやレガシーソフトウェアの場合は複雑かつ高コストです。
研究者のトレイ・ダーリー氏とペドロ・ウンベリーノ氏は、2036年/2038年問題への認知を高める活動を行っており、Epochalypse Projectというプロジェクトを立ち上げています。
最近のBruCONセキュリティカンファレンスでのプレゼンテーションで、ダーリー氏とウンベリーノ氏は、攻撃者は2036年や2038年を待つ必要はなく、今すぐにでもこれらのバグを悪用できると警告しました。
攻撃者は、GPSスプーフィング、NTPインジェクション、ファイルフォーマットフィールドの改ざん、プロトコルのタイムスタンプ操作など、さまざまな時刻操作手法を用いて、ターゲットシステムの時刻を2036年や2038年に設定し、好きなときにバグを発動させることができます。
場合によっては(TLSの場合など)、時刻が操作された際にユーザーに警告が表示されることもありますが、マシン間通信など多くの場合は警告が一切表示されません。
「今、私たちは脆弱です」とウンベリーノ氏は警告します。「最小限の技術を持つ脅威アクターでも、時刻操作によってこれらのロールオーバー問題を悪用し、今私たちのインフラを攻撃できるのです。」
サイバーセキュリティ企業BitSightに勤務するウンベリーノ氏は、サーバー、ICS、スマートテレビなど、インターネットに公開されている数十万台のデバイスが影響を受ける可能性があることを特定しました。また、ウェブからは見えない多くのシステムも影響を受けています。
同氏は、Y2K38の影響が車、ルーター、プリンター、スマートテレビ、アラームやその他の物理的セキュリティシステム、スマートウォッチ、電子書籍リーダーで確認されたと述べています。また、原子力潜水艦、衛星、通信システム、発電所、水道施設、ミサイルシステム、飛行機、列車などの極めて重要な資産にも影響が及ぶ可能性があると考えています。
ウンベリーノ氏は、Y2K38攻撃に対して脆弱であることが判明した製品のベンダーへの通知を開始しています。あるベンダーはDover Fueling Solutionsであり、同社のProGauge製品が脆弱であることを確認しています。これらはガソリンスタンドなどの組織が燃料在庫の管理、漏洩防止、環境規制の遵守、運用効率の向上のために使用する自動タンク計測(ATG)装置です。
サイバーセキュリティ機関CISAは最近、DoverがProGauge製品向けに複数の脆弱性を修正するアップデートをリリースしたと発表しました。その中には、攻撃者がシステム時刻を手動で変更でき、サービス拒否(DoS)状態を引き起こす可能性があるCVE-2025-55068も含まれています。
ウンベリーノ氏はSecurityWeekに対し、他のベンダーのATGで発見した時刻操作の脆弱性や、他の種類の製品で特定した欠陥についても、今後CVEが割り当てられることを期待していると述べました。
この種の脆弱性にパッチを適用することで、ハッカーによるY2K38の発動を防ぐことができます。さらに、ウンベリーノ氏は、2036年/2038年のロールオーバーをバグではなく脆弱性として扱うこと(Y2Kのケースとは異なり)には利点があると考えています。
「脆弱性として扱うことで、修正の優先順位付けや分類に使える他のフレームワーク(例えばCVSS)を利用できます。また、もしそれがCIAトライアド(機密性、完全性、可用性)に影響し、悪意ある攻撃者によって発動可能であれば、それは脆弱性とみなすのが理にかなっています」と同氏は説明しています。
ダーリー氏とウンベリーノ氏は、すべての脆弱なシステムを期限内に交換または更新できる可能性は低いものの、関係者は少なくとも最も重要なシステムの特定と優先順位付け、可能な限りの修正の実施、更新できないシステムへの対応策の策定を行うべきだと指摘しています。また、移行を管理するためのグローバルな連携も必要です。
しかし、これは容易な作業ではありません。ウンベリーノ氏はSecurityWeekに対し、「2038年までに、Y2Kで行われたすべての取り組みをはるかに凌駕する課題に直面することになるでしょう。当時の1000倍もの接続システムが存在する可能性があります。しかし、私たちには1000倍の時間も、1000倍の資金もありません。どこに壊れるシステムがあるのかすら把握できていないのです」と述べています。
