もしハッカーが、ガソリンスタンドのタンクをあふれさせたり、アラーム音を止めたりしたとしたら。

それは破壊的状況を生むだろうし、特にその標的がある地域内の複数のスタンドに及んだ場合、事態はさらに深刻なものとなる。

こうした想定に、どれだけの「現実的な可能性」があるのだろうか。トレンドマイクロのカイル・ウィルホイトとスティーブン・ヒルトは、監視システム「GasPot」を立ち上げた。これは一種のおとり操作、いわゆる「ハニーポッド」で、仮想の給油ポンプ監視システムによる「罠」をしかけ、ハッカーがどのような行動をとるか観察しようというものだ。

そして、Rapid7での発表もあり、同社は2015年はじめに、「安全ではない、オンラインでアクセス可能な自動タンクが5,800台もある」と報告している。タンクの大部分は米国のガソリンスタンドやトラックストップ、コンビニエンスストアに存在しており、パスワードで保護されたものはなかった。

給油ポンプ監視システムには、さまざまな機能の違いがある。あるものは在庫管理目的でタンクのレベルや容量限界を設定したり、燃料レベルをチェックしたり、タンク温度を測定したりできる。また、漏れを検知する機能をもつものもある。

遠隔地から攻撃してくる場合、この「管理部分」が狙われる。まず燃料レヴェルを低く見せかけ、スタンドを閉鎖に追い込むことが可能だ。もしくは、タンクの「無鉛ガソリン」のラベルを「プレミアム」や「ディーゼル」に変え、在庫の混乱を引き起こしたり、タンクの容量限界を書き換えることで、危険な流出を引き起こすこともできるだろう。2009年にプエルトリコでは、自動充填の最中に、コンピューター制御の監視システムが燃料タンクの上限を感知できずに爆発・炎上し、3日間燃え続けたという。

設置されたGasPotは、Veeder-Rootが構築したGuardian AST（地上貯蔵タンク）監視システムに似た設計だ。Guardian ASTシステムは 過去に、ハッカーと思われる存在から現実に攻撃を受けたことがある。

今年の2〜6月まで5カ月間、米国や英国、ドイツ、ヨルダン、ブラジル、ロシア、アラブ首長国連邦のサーヴァーに「偽の給油ポンプシステム」が設置され観察された。そのなかでも米国では、攻撃者たちは自動スキャナーを使用してシステムの位置の割り出しと調査を行なっていた。さらに大胆な攻撃をしてくる者もいたが、デジタルの“落書き”を超えるようなものではなかった。

ある米国のシステムは、2日間に渡ってDDoS攻撃を受けた。トレンドマイクロは、Twitterアカウントやウェブサイトの改ざんで有名な「Syrian Electronic Army」の仕業である証拠が示されている、としている。

GasPotの結果は「Defcon」で発表されており、報告の全文はこちらから確認できる。