シリコンバレーの信号機ハッキング事件：デフォルトパスワードの脆弱性が露呈した公共インフラの危機

昨年4月上旬、犯人はシリコンバレーの約20ヶ所の交差点で前例のないサイバー攻撃を仕掛けました。この攻撃は複数の州に広がり、地元の公的機関のセキュリティ体制に大きな疑問を投げかけました。犯人は、公開されているデフォルトパスワードの脆弱性を悪用し、歩行者が横断ボタンを押すたびにカスタム録音をワイヤレスでアップロードする手法を用いました。通常、ボタンからは待機や横断を促す音声が流れますが、今回は億万長者のテックCEOを騙った音声が流されました。例えば、メンローパークの交差点では、架空のマーク・ズッカーバーグ氏がAIが「意識のあらゆる側面」に「強制的に」挿入されることを止められないと述べ、別の場所では民主主義を「弱体化させる」と称賛しました。また、架空のエロン・マスク氏がドナルド・トランプ前大統領を「本当に優しくて、柔らかくて、愛情深い」と描写したり、別の場所では「とても孤独だ」と嘆く音声も聞かれました。

この事件を受け、メンローパーク、レッドウッドシティ、パロアルトといった都市は、公的記録や専門家の証言を通じて対応に追われました。レッドウッドシティのメ利ッサ・ディアズ市管理者は、このシステムセキュリティの責任を誰が負うべきか、関係者への説明責任を明確にする必要性を強調しました。専門家からは、政府やベンダーが、AIツールや強力なセンサーが交通インフラに統合される中で、サイバーセキュリティ条項を契約に組み込む努力を怠っていたことが指摘されています。特に、レッドウッドシティは、ベンダーに「合理的な注意と最善の判断」を求めていたものの、パスワードやデジタルセキュリティに関する具体的な規定が欠けていました。

この信号機ハッキング事件の背後には、Polara Enterprises（現Synapse ITS傘下）が提供する、Bluetooth対応の横断歩道ボタンの脆弱性が存在していました。これらのモデルは、デフォルトパスワードが「1234」であり、一般に公開されているアプリを通じて設定変更が可能でした。事件発生の約8ヶ月前には、セキュリティVloggerがこのボタンの改ざんの容易さを指摘していました。Synapse ITSの技術責任者は、原因はデフォルトパスワードではなく、設置業者が共有しすぎた単純なパスワードの使用にあると説明しました。しかし、元従業員からは、同社が製品の信頼性には投資しているものの、セキュリティ面での優先度が低く、エンジニアリングリソースが不足しているという批判的な証言も出ています。事件後、Synapseはより強力なパスワードの義務化や追加の検証ステップを導入するなど、セキュリティ強化に動いています。シアトルなど他の都市でも同様の被害が発生し、対応としてユニークなパスワードの設定や、市職員の認証リストの作成が行われました。

---

背景

本件は、公共の安全に関わるインフラ（横断歩道ボタン）が、初期設定の脆弱なパスワードを介してサイバー攻撃の標的となった事例です。近年、AIやIoT技術が交通システムに組み込まれる中で、物理的なインフラとデジタルセキュリティの連携が不可欠となり、その脆弱性が社会問題として浮上しています。

重要用語解説

• デフォルトパスワード: 機器やシステムに初期設定されている、変更されていない標準のパスワードのこと。セキュリティ上の最大の弱点となりやすく、ハッキングの主要な侵入口となる。
• サイバー攻撃: コンピュータシステムやネットワークに対して、不正なアクセスや操作を行い、情報や機能を破壊・妨害する行為。本件では、音声データの不正アップロードが目的とされた。
• 横断歩道ボタン: 歩行者が信号機に横断を要求するために使用する物理的なボタン。近年、Bluetoothなどによりカスタム音声や情報提供機能が追加されている。
• 影響: 本件は、公共インフラの設計段階からサイバーセキュリティを組み込む「セキュリティ・バイ・デザイン」の重要性を浮き彫りにしました。今後は、政府や企業がサプライヤーとの契約において、パスワード管理やデジタルセキュリティに関する具体的な義務付けを徹底することが求められ、インフラ整備の標準的なプロセスが大きく変わる可能性があります。また、AI技術の社会実装に伴うセキュリティリスクへの警戒感も高まっています。