地上衛星リンク: GEO衛星で平文送信される機微な内部リンク
(satcom.sysnet.ucsd.edu)- GEO衛星リンクで送信されるIPトラフィックの50%が暗号化されていない状態である
- 軍事、通信、商用、公共インフラなどで平文データが送受信され、深刻なセキュリティリスクを引き起こしている
- 低価格の商用機器だけでも当該トラフィックの傍受が十分可能であることを研究で実証した
- 産業界・通信事業者の内部ネットワークで暗号化が十分に適用されておらず、致命的な脆弱性の露出が続いている
- 研究チームは関連組織・企業・政府機関に対し、公開型の脆弱性報告と対応協議を実施した
要約と背景
- GEO(Geostationary Earth Orbit)衛星リンクは、遠隔インフラおよびネットワーク通信の中核として、電力、通信、軍事、政府、商業など多様な産業分野で利用されている
- 既存研究はごく一部の衛星や限定的な事例に焦点を当てていたが、今回の研究では39基の衛星、411のトランスポンダ、25の経度にまたがる広範な実験をコンシューマ向け機器で実施した
主な発見
-
全GEOリンクの約50%で、ネットワーク層またはリンク層の暗号化なしの平文IPトラフィックが確認された
-
衛星テレビでは数十年にわたりリンク層暗号化が慣行だった一方、IPバックホール(Backhaul)リンクでは暗号化がほとんど行われていない
-
民生機器(数百ドル程度)でも誰でも衛星トラフィックを閲覧できるため、深刻かつ大規模な盗聴脅威が発生する
-
実際に複数の通信事業者、産業制御システム、軍事資産追跡、グローバル流通網、航空、金融などの分野で機微な平文データが確認された
- セルラーバックホールトラフィック(音声、SMS、認証キーなど)
- 産業・公共通信(スケジューリング、制御システム)
- 軍事(資産追跡、通話メタデータ)
- 小売(在庫・内部ネットワーク管理)
- 航空(機内WiFi、航空機情報)
- 金融(ATMトラフィック、LDAP)
脅威モデルと実験方法
- 攻撃者は低価格の市販衛星受信機とオープンソースソフトウェアだけで、数百のリンクを受動的に盗聴できる
- すべての産業用プロトコルが公開されているわけではないが、研究チームは多様なプロトコルに対応可能な汎用パーサを開発し、7か月にわたり411のトランスポンダそれぞれで信号を収集する大規模スキャンを実施した
- 主な技術的貢献
- 自動照準のモーター駆動ディッシュによる信号品質とアライメントの最適化
- 7種類のプロトコルスタックに適用可能な汎用トラフィックパーサを開発(うち5種類は初報告)
- 性能の安定性を確保: 24時間以内にすべての経路を3分間キャプチャ
- 多様な産業・公共分野の平文ネットワークを大量に発見
暗号化の実態と構造的問題
- IPネットワークではTLSが標準だが、内部衛星ネットワークでは暗号化の慣行が実質的に定着していない
- 組織が衛星リンクも一般的な社内ネットワークのように扱い、セキュリティ監視が不十分であることを示している
- 暗号化未適用は技術的難易度だけでなく、構造的にインセンティブが不足していることも示唆する
倫理的配慮と公開報告
- 法的助言およびIRB(機関倫理審査委員会)にプロジェクトを報告し、研究倫理と法的問題を最優先で考慮した
- 機微な音声/SMSを発見した際は直ちにデータ収集を中止し、当該データを追加で暗号化して削除した
- 幅広い報告活動: T-Mobile、米軍、Walmart-Mexico、AT&T、TelMex、Grupo Santander、Intelsat、Panasonic Avionics、WiBo、KPUなど主要当事者や政府・機関を対象
- 新規サービス(例: T-Mobile Starlink)には当該脆弱性が適用されないことも確認
- 複数の企業や各国政府のCERTなどと緊密に協議し、担当者と接触して解決を支援
結論と公開資料
- 研究の結果、構造的な暗号化未適用、低コストでの大規模盗聴可能性、産業/国家安全保障への脅威などの主要問題が確認された
- 全ソースコード、論文全文、実験結果を公開: https://satcom.sysnet.ucsd.edu
参考
- 論文名: Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites
- 2025年10月13日、ACM CCS’25学会で発表
1件のコメント
Hacker Newsの意見
リンクで明らかになった平文トラフィックの一部は以下のとおり
T-Mobile バックホール: ユーザーのSMS、音声通話の内容、インターネットトラフィックが暗号化なしで露出
AT&T Mexico のセルラーバックホール: 生のユーザーインターネットトラフィック
TelMex VOIP 衛星バックホール: 平文の音声通話
米軍: 軍艦名を含む SIP トラフィック
メキシコ政府および軍: 暗号化されていない政府内部通信
Walmart Mexico: 企業メールと在庫管理システムの平文資格情報、FTPで送信・更新される在庫記録
これらすべてがあまりにも衝撃的
量子暗号解読や標準暗号プロトコルのバックドアのような高度な脅威に対応することも重要だが、実際の攻撃の大半は基本的なセキュリティ設定の不備から生じる
基本をおろそかにしないことが本当に重要だと改めて思い出させられる
https://satcom.sysnet.ucsd.edu/ の「Has The Issue Been Fixed」セクションでは、T-Mobile、WalMart、KPU について、再スキャンにより問題解決が確認された
それでも主要インフラ(たとえば遠隔制御SCADAのために衛星接続を使う公益企業)がこのように露出していた事実は本当に恐ろしい
世界中のIT部門が、ブラウザがすべてのURIをデフォルトでベンダーに漏らしていることを認識していないのは残念
URIが企業機密を漏えいさせており、Googleの人たちは Edge を使って Microsoft に、Microsoft の人たちは Chrome を使って Google にデータを流しているはず
Edge と Chrome はどちらも、訪問したURIを「検索結果の改善」や「デバイス間の履歴同期」のために送信している
これがシークレットモードにも当てはまるのかは不明(明示されていない)
とてつもないプライバシー上の穴なのに、誰も認識していないか気にしていない状況
Bad Aibling を通るたびに、なぜ BND(ドイツ情報機関)が衛星通信の盗聴にそこまで多額の投資をしているのか不思議に思っていた
こうした通信は暗号化されているだろうと無邪気に考えていた
ちなみに、この機関が BND 所有・運営であることは長い間半公式にしか知られておらず、公式には「Bundeswehr 長距離通信局」という名称で「Federal Office for Telecommunications Statistics」が運営していると紹介されていた
リアルタイムの軍事目標のテレメトリ、精密位置情報、識別子、リアルタイムテレメトリが平文で露出していたという話には、人間的にあきれてしまう
これは衝撃的ではあるが、2000年代初頭ほどひどくはない
リンク層暗号化は衛星テレビでは数十年にわたり標準だったが、スノーデン以前の時代には、衛星で見えていたTCPトラフィックの99%が手つかずの平文だった(Web・メールのほぼすべて)
転送速度が速すぎて、パケットキャプチャには SCSI ハードディスクが必要だった
生涯を衛星分野で過ごしてきた専門家が、新しいTVチャンネル向け受信機の設置を手伝ってくれた体験を共有
どの衛星を使うか、そのスロットが何かを把握すると、自分の基準となるなじみのある衛星から目的の衛星まで何個移動するかを頼りに、手でアンテナを押して衛星を見つけていた
基準衛星の信号は暗号化されていなかったのでそれを使い、実際のこちらのチャンネルは暗号化されていた
この人はあまりにも簡単に作業して見せたので魔法のようだったが、実際に軌道スロットの構造を日常の言葉で説明してくれると神秘性が薄れた
マジシャンが種明かしをしない理由がわかった
この話のおかげで、なぜか少し希望が湧いた、ありがとう
何かが秘密を知る前には魔法のように見えるなら、秘密を知ったあとでもなお魔法のように感じられてこそ本当の魔法だと思う
不可能だからではなく、自分には想像できないやり方で成し遂げられているからこそ神秘が残る
C-band のパラボラアンテナと短波ラジオで長距離電話を盗み聞きしていた思い出を振り返る
音声チャネルは 0〜6MHz の単一側波帯チャネルに配置され、この信号束が衛星トランスポンダへ映像信号のように送られていた
パラボラ受信機はその信号をデコードできなかったが、付加装置向けのサブキャリア出力があり、それを短波ラジオにつないでチャネルを探し回っていた
片側の会話しか聞けなかったにもかかわらず、ものすごく面白かった
退屈な雑談、麻薬取引、そして生まれて初めて聞くような罵声を浴びせる女性まで、さまざまな会話を聞き、当時13歳だったので衝撃的な体験だった
インターネットがなかった時代の思い出
2024年に、暗号化ライセンスなしで無線機を買えば大幅値引きすると言っていた業者がいた
しかも WPA も WEP もなく、すべてのデータが堂々と空を横切って平文で送信されている状況
宇宙空間では基本的に暗号化すると熱やエネルギー消費が大きく増えるのではと思うが、そうだとしても宇宙が到達不能な場所であるかのように、あるいは究極の秘匿性を持つかのように振る舞うのはばかげている
宇宙で基本的に暗号化するからといって、必ずしも熱やエネルギーが大きく増えるわけではない
データは地上で発生し、アップリンク段階ですでに暗号化されているべきなので、実質的には暗号化は衛星システムに届く前の地上区間で処理すべき
データ漏えいやほかの問題が起きても、実際の意思決定者は責任を取らないので、変化する動機がまったくない
セキュリティがここまでひどいのは、漏えい事件が起きても誰も解雇されず、常に「ハッカーのせい」にしたあとで、「当社はセキュリティを非常に重視しています」と型どおりのことを言って日常が続くから
なぜ大半のトラフィックを宇宙でデコードしなければならないのか疑問
トラフィックの流れ自体は海底光ファイバーケーブルと同じくらい単純でよく、実際に管理や制御などの場合だけ軌道上でのデコードが必要になるはず
Q&A ページにその質問がある
「なぜすべての GEO 衛星リンクが暗号化されていないのか?」について
結果として、多くの組織がコストなどの直接的理由から暗号化を嫌っていることが多い
関連Q&Aリンク: https://satcom.sysnet.ucsd.edu/#qanda
ペイロード暗号化は衛星上で直接行う必要はない
宇宙産業で働いていると、ECSS のセキュリティガイドラインがスタートアップに軌道上で TLS を作り直そうとさせるような混乱を与えているように見える
官僚主義が強すぎる
ECSS のソフトウェアガイドラインは実務開発経験のない人たちが書いたように見え、ECSS Packet Utilisation Service の仕様を見るとあきれてしまう
だから個人的には補助金を受ける組織より、VC 投資を受ける組織で働くほうを好む
該当サイト: https://satcom.sysnet.ucsd.edu/
Wired の記事: https://www.wired.com/story/satellites-are-leaking-the-worlds-secrets-calls-texts-military-and-corporate-data/
この論文でメキシコ企業が多いのは、受信機がメキシコ南西端の大都市にあるためなのか気になった
そのとおり
研究は San Diego で行われ、この地域はメキシコ向けサービスに必要な衛星ビームのカバレッジ内にある
たとえばオーストラリアの Alice Springs にいれば、インドネシア、フィリピン、東南アジアの大半、状況によっては中国、韓国、日本のトラフィックも、ビームが合えば捕捉できる
私もそう解釈した
論文の 6.3.2 節を読んで衝撃を受けたが、6.4.2〜3 はさらにひどい
論文で言及されている暗号化されていない ATM 通信をリバースエンジニアリングし、悪意あるパケットを注入すれば、ノートPCとパラボラアンテナだけで金を引き出せてしまうのか気になる
本当にサイバーパンクっぽい
あまりにも衝撃的
その企業には本当にこの問題を理解できる人がいなかったか、知っていても誰も気にしなかったように思える
2025年にもなって、衛星リンクがユーザー単位で暗号化されず、いまだに平文プロトコルで機密情報がインターネット上を流れているという事実にぞっとする
このテーマに興味があるなら、実際の攻撃デモやチュートリアルを見せてくれる素晴らしい YouTube チャンネルがある
衛星関連の動画2本は次のとおり