MailData

GPSスプーフィングとは?完全ガイド

GPSスプーフィングとは?完全ガイド

実は偽ることができるGPS情報

2024年4月29日
著者: Ahona Rudra
翻訳: 逆井 晶子

この記事はPowerDMARCのブログ記事 What is GPS Spoofing – A Complete Guide の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

今回は、家族や友人と位置情報を共有する人にとっての脅威である「GPSスプーフィング」について解説します。
この手法はストーカーによく利用されるほか、さまざまな人が悪意のある目的で利用しています。

GPSスプーフィングとは?

GPSスプーフィングとは、GPS信号を操作して、デバイスに誤った情報を送信させる方法です。
例えば、海の真ん中にいるという偽のGPS信号を送信すると、携帯電話の位置情報は海上を示します。
GPSスプーフィングは、サイバーセキュリティ攻撃の発展により、ナビゲーションや位置情報サービスをGPSに依存する消費者や組織にとって問題となっています。

ただし、これは通常の携帯電話やアマチュア無線で行うことができるものではなく、実行するには特別な機器と訓練が必要です。

GPSスプーフィングはさまざまな目的で利用されますが、特に以下のようなケースで使われることが多いです。

GPSスプーフィングの手法

GPSスプーフィングを実行する方法はいくつかあります。
以下、主な手法を紹介します。

GPSスプーフィングアプリの改竄
スマートフォンやタブレットのGPSデータを改竄するアプリが多数存在します。
例えば、「Fake GPS Location」や「Fake GPS Go」などがあり、AndroidやiOSで利用可能です。
VPNやプロキシ
仮想プライベートネットワーク(VPN)やプロキシを使用すると、別の場所にいるように見せかけることができます。
無料のVPNは、どこか別の場所にあるサーバーに接続し、その場所にいるように見せることができます。
プロキシも同様に利用することができますが、VPNとはセキュリティの仕組みや強度が異なる場合があります。
クラウドVPNを利用すると、オンラインアクティビティのセキュリティが大幅に向上し、位置情報とデータを潜在的なスプーフィング攻撃から確実に保護することができます。
エミュレータ
エミュレータは、コンピューターやスマートフォン上でGoogle Play ServicesがインストールされたAndroidデバイスを仮想的に再現し、GPS位置情報を偽装する方法です。
これにより、世界中のどこからでもアプリをインストールし、実際の携帯端末にインストールしたかのように実行することができます。
計測ツール
XDA-DevelopersのMagisk ManagerやMotorolaのMoto Mods Managerなどの他の計測ツールは、エミュレータと同様に、Google Play Servicesがインストールされた仮想Androidデバイスを作成することで、GPS位置情報を偽装するために使用することができます。
GPSスプーフィング専用機器
GPSスプーファーは、受信機に偽の位置データを送信するデバイスです。
これらは、ボックス型、キーホルダー型、さらにはスマートフォンアプリなど、さまざまなサイズや形状で提供されています。
これらのデバイスはオンラインで購入することができますが、購入する前にその動作原理を理解しておく必要があります。
GNSSシミュレータ
もう一つの位置情報を偽装する方法として、GNSSシミュレータを使用する方法があります。
これは、世界中の複数の場所からの衛星信号をシミュレートします。
航空会社や海運会社は、このハードウェアを使用して、機器を本稼働前にテストします。
これにより、異なるタイムゾーンを移動する際や、海上など常に衛星が利用できない遠隔地での動作を確認することができます。

GPSスプーフィングを行う主な人物

GPSスプーフィングを悪用するのは、以下のような人々です。

個人
ゲームで有利になるため、あるいは警察の追跡を逃れるために利用します。
ゲーマー
オンラインゲームでキャラクターを瞬時に移動させ、不正に勝利を得るために使用します。
軍事組織
敵の通信やナビゲーションを妨害する目的で利用します。
犯罪者・サイバー犯罪者
犯罪者は、ATMで不正に現金を引き出させる偽の信号を送信し、銀行から資金を盗もうとしています。
また、「geo-jacking」と呼ばれる手法を使い、GPSスプーフィングによってラップトップの位置を隠しながら、企業ネットワークからデータを盗み取ることもあります。

GPSスプーフィング対策

GNSSスプーフィング攻撃を防ぐには、以下の方法のいずれかを実施する必要があります。

適切なサイバー衛生の維持
GPSスプーフィング攻撃を防ぐ第一歩は、適切なサイバー衛生を実践することです。
ソフトウェアを最新の状態に保ち、脆弱性が発見されたらすぐに修正することが重要です。
これにより、ハッカーがシステムの弱点を悪用することを防ぐことができます。
冗長なアンテナの追加
複数のアンテナを設置すると、GPSスプーフィング攻撃のリスクを軽減することができます。
受信機の数を増やすことで、異なるデータソースを使用し、位置情報の正確性を向上させることができます。
バックアップの使用
バックアップは、攻撃を防ぐ最も確実な方法の一つですが、いくつかの欠点もあります。
例えば、携帯電話の電波が届かないエリアでは、GPSデバイスやスマートフォン(またはGPSを利用する他のデバイス)を使用することができません。
また、移動後すぐにはデバイスが正しく機能せず、位置情報の再調整に時間がかかる場合もあります。
指向性アンテナまたはフィルターによる偽信号のブロック
市販の機器や特注のデバイスを使用して実施することができます。
この方法の利点は、デバイスが偽の位置情報を受信するのを防ぐだけでなく、攻撃者にスプーフィングの成否を悟らせないことです。
アンテナの隠蔽
アンテナのセキュリティを確保することで、ハッカーが偽の信号を送信しにくくなります。
例えば、ケーブルが必要なアンテナを使用している場合は、ケーブルが車両やトレーラーの外部からアクセスできないようにしましょう。
また、車両やトレーラーにアンテナを放置すると盗難の恐れがあります。
ジャミングの活用
GPSスプーフィング対策として、ジャミング(妨害)を利用する方法があります。
これは、GPS衛星の信号と似た信号を発生させる送信機(ジャマー)を使用し、攻撃者の偽のGPS信号を妨害または遅延させることで対策します。
ジャマーはGPS信号と同じ周波数の電波を発信し、他の周波数を遮断することで、攻撃者の偽のGPS信号を受信させないようにします。
ただし、ジャミング行為は法律で禁止されている国や地域が多いため、使用には注意が必要です。
パスワードの定期的な変更
パスワードを定期的に変更することも、GPSスプーフィング攻撃への対策になります。
強力なパスワードは、少なくとも14文字以上で、文字と数字の両方を含む必要があります。
また、引っ越しや結婚などの大きなライフイベントの後には、6ヶ月以内、またはそれ以下の頻度でパスワードを変更する必要があります。

その他のスプーフィング技術とその対策

スプーフィングは様々な方法で行うことができますが、主に6つの種類があります。

IPスプーフィング

IPスプーフィングとは、偽のIPアドレスを使用してネットワーク上の別のコンピュータになりすます攻撃です。
ハッカーのコンピュータは、自身のアドレスを偽装し、他のコンピュータの正規のアドレスを装ったパケットを送信します。
詳細はこちら:IPスプーフィングとは?

DNSスプーフィング

DNSスプーフィングとは、偽のDNS応答を被害者のコンピュータに送信し、ウェブサイトのIPアドレスを不正に書き換える手法です。
詳細はこちら:DNSスプーフィングとは?

Bluetoothスプーフィング

Bluetoothスプーフィングでは、攻撃者が偽のBluetoothデバイスを用意し、被害者のデバイスに正規のBluetooth機器であると信じ込ませます。
その後、攻撃者は被害者のデバイスにコマンドを送信し、情報を盗み取る、またはデバイスを制御することが可能になります。
Bluetoothスプーフィングの対策方法は以下の通りです。

ARPスプーフィング

ARPスプーフィングとは、偽のARP(Address Resolution Protocol)リクエストを送信し、攻撃者のMACアドレスを被害者のものと誤認させる手法です。
詳細はこちら:ARPスプーフィングとは?

SMSスプーフィング

SMSスプーフィングとは、攻撃者が偽の電話番号からSMS(ショートメッセージ)を送信する手法です。
銀行などの信頼できる送信元を装い、被害者を騙して個人情報を入力させることがあります。
SMSスプーフィングの対策ガイドはこちら

Eメールスプーフィング

Eメールスプーフィングは、送信者を偽装し、正規のドメインから送信されたかのように見せかけたEメールを送信する手法です。
不正な目的で使用され、特定のユーザになりすまし、不正なメッセージを送信するケースもあります。
場合によっては、スプーフィングされたEメールにマルウェア、ランサムウェア、またはフィッシングリンクが含まれていることがあります。

対策として、認証技術を活用したEメールセキュリティ対策の導入が有効です。
これにより、Eメールスプーフィングの防止とユーザの保護が可能です。

DMARC(Domain-based Message Authentication, Reporting & Conformance)
送信元のドメインなりすましを防ぐための認証プロトコルです。
DMARCは、2つの標準認証プロトコルであるSPFとDKIMを組み合わせて送信元の正当性を検証します。
Office 365 DMARCは、ポリシーがMicrosoft 365ドメインに適用されるように設定されている場合、なりすまし攻撃に対して高度な対策を提供することができます。
DKIM(DomainKeys Identified Mail)
DKIMは公開鍵暗号方式を使用し、ドメインのメールの正当性を検証するための認証方法です。
SPF(Sender Policy Framework)
送信者が正規のドメインからメールを送信する権限を持っているかを検証するシステムです。

結論

GPSスプーフィングは広く普及している手法であり、ほぼすべてのナビゲーションシステムを欺くのに効果的かつ確実な方法です。
ナビゲーションデバイスは、ブランドやモデルに関係なくハッキングされる可能性があります。
最先端のナビゲーションシステムでさえ、GPSスプーフィングによって容易に突破されてしまいます。
これは、スプーフィングが単に偽のデータをデバイスに送信するだけであり、デバイス自体が騙されていることを検知できないためです。
さらに、スマートフォンの設定を特別に変更しなくても、GPSスプーフィングを実行できるケースもあります。