エアギャップ

エアギャップ（英語: air gap）^[1]とは、コンピュータネットワークにおいてセキュリティを高める方法の一つ。安全にしたいコンピュータやネットワークを、インターネットや安全でないLAN^[2]といったネットワークから物理的に隔離することを指す。エアギャップという語は、コンピュータやネットワークが、他のネットワークから（概念上の「空隙」で）電気的に切断されていることを意味している。

セキュリティクラスの設定された環境での利用

エアギャップで守られているコンピュータやネットワークには、有線にしろ無線にしろ、外部のネットワークに接続されたネットワークインタフェースは存在しない。一般的なコンピュータの場合、有線ネットワークに接続していなかったとしても、実際には無線ネットワークインタフェース（Wi-Fi）を通じてインターネットに常時接続し、ソフトウェアをアップデートしていることが多いが、これはセキュリティ上の脆弱性に繋がる。

2つのネットワークやデバイスが、異なるセキュリティクラスの情報を扱っている場合、セキュリティクラスのより低い情報を扱っている方は"low side"、セキュリティクラスのより高い情報を扱っている方は"high side"と呼ばれる（セキュリティクラスの付与された情報を"red"、付与されていない情報を"black"と呼ぶこともある）。エアギャップで守られているシステムと、外の世界との間でデータを移動するには、データを物理的なメディアに書き込んで、物理的に移動する必要がある。典型的なベル・ラパドゥラモデルに基づく場合、セキュリティクラスの低いほうから高いほうへは最小限の手続きだけでデータを移動できる一方で、高いほうから低いほうへデータを移動する際はセキュリティクラスの高い情報を守るためにより厳格な手続きが必要となる。

この考えかたは、ひとつのネットワークを他のネットワークから守りたい場合、（デバイスの電源を切るという方法を除けば）もっとも堅固な防御のひとつである。エアギャップで守られているシステムにおいて、外の世界とデータを転送する唯一の方法は、データをリムーバブルディスクやUSBフラッシュドライブなどのリムーバブルメディアに書き込んで、物理的に移動させる方法である。この種のアクセスはより容易にコントロールできる。この方法のメリットは、一般的にそのようなネットワークを、外の世界からアクセスできない（情報セキュリティ、信号セキュリティ、放射セキュリティの分野における）クローズドシステムとみなすことができる点にある。一方で、この方法のデメリットは、セキュアなネットワークで処理される情報を外の世界から転送する作業が非常に労働集約的である点にある。エアギャップに守られたネットワークへ入ってくるプログラムやデ^？[3]。

Stuxnet^[4]やAgent.BTZ（英語版）のようなマルウェアは、リムーバブルメディアの処理に関連したセキュリティホールを突いてエアギャップを越えることが知られている。また、音を使った通信によってエアギャップを越える手法が研究者によって実証されている^[5]。FM周波数信号を使ってデータを盗み出す方法の実現可能性を実証した研究もある^[6][7]。

事例

エアギャップで守られているシステムとしては以下のような実例が挙げられる。

• 軍事用・政府用のコンピュータネットワーク・コンピュータシステム^[8]
• 証券取引所などの金融向けコンピュータシステム^[9]

• 産業向け制御システム。油田やガス田で使われるSCADAなど^[10]

• 以下に示すようなライフクリティカルなシステム
  • 原子力発電所の制御システム
  • FADECや アビオニクスなどの航空用コンピュータ^[11]
  • コンピュータ制御の医療機器

• 以下に示すような、非常に単純で、そもそもセキュリティに関して考慮する必要がないシステム
  • エンジンコントロールユニットなど、自動車のCANバスに接続されているデバイス
  • 家庭用空調機や冷蔵庫で温度やコンプレッサーを制御するデジタルサーモスタット
  • 芝生の水やり用の電子制御式スプリンクラー

インターネットに接続できるサーモスタットや、Bluetooth・Wi-Fi・携帯電話網への接続が可能な自動車など、近年ではこのようなシステムの多くにはパブリックなインターネットに接続する機能が付け加えられており、もはや事実上エアギャップに守られているとはいえない状況である。

エアギャップの制約

エアギャップに守られた環境を作るには、セキュアなネットワークに対する無線ネットワーク接続を禁止したり、TEMPESTやファラデーケージを使ってセキュアなネットワークからの電磁波の漏れを防止したりする必要がある。

さらに、2013年には研究者によってエアギャップによる隔離を音を使った通信によって突破するエアギャップ・マルウェア（英語版）の実現可能性が実証されている。^[12]

またそのすぐ後には、ネットワークセキュリティ研究者のDragos RuiuによるBadBIOS（英語版）が注目を集めている。^[13]

2014年には、研究者によってAirHopperが提案された。これは、隔離されたコンピュータから近傍にある携帯電話へFM変調した信号を送ってデータを盗み出す方法の実現可能性を示した。^[6][7]

2015年には、温度を制御することでエアギャップに守られたコンピュータ間で通信を行う内密チャネルBitWhisperが提案された。BitWhisperは双方向通信をサポートしており、専用のハードウェアを追加する必要もない。^[14][15]

2015年後半には、研究者によってGSMemが提案された。これは、携帯電話の周波数帯を使って、エアギャップで守られたコンピュータからデータを盗み出す手法である。データの送信には、一般的な内部バスで電波を生成することで、コンピュータを携帯電話の送信アンテナとして使う。^[16][17]

2016年に発見されたマルウェアProjectSauronは、感染したUSBデバイスを用いてエアギャップに守られたコンピュータからデータを漏洩させる方法を示した。このマルウェアは5年のあいだ検出されずにいた。Windowsからは見えない隠しパーティーションを、エアギャップで守られたコンピュータとインターネットに接続されたコンピュータとのあいだの通信チャネルとして使っており、この隠しパーティーションは、互いのシステムのあいだでファイルを共有するのに使用されていたと見られる。^[18]

一般的に言って、マルウェアはさまざまなハードウェアを組み合わせて"air-gap covert channels"を構成し、機密情報をエアギャップで守られたコンピュータから抜き出すことができる。^[19] このようなケースでは、エアギャップを乗り越えるために、音、光、振動、磁気、温度、無線周波数などさまざまな媒体が利用される。^[20][21]