ドローンマニュアル販売の試みの一環として、米空軍の機密文書がダークウェブに流出した。
脅威情報企業Recorded Futureは先月、ダークウェブにおける犯罪活動の監視業務の一環として、MQ-9リーパー無人機に関する輸出規制対象文書とされるオークションに関与した。Recorded FutureのInsikt Groupアナリストは、潜在的な買い手を装い、新たに登録された英語を話すハッカーと接触し、侵害された文書の真正性を確認したと述べた。
その後のやり取りにより、アナリストは同じ攻撃者から漏洩された他の軍事情報を発見することができました。ハッカーは、身元不明の将校から大量の軍事文書にアクセスしたと主張しました。
これらの文書には、M1エイブラムス戦車の整備マニュアル、戦車小隊訓練コース、乗組員生存コース、即席爆発装置緩和戦術に関する文書が含まれていました。
その後の調査で、この情報は実際には少なくとも1台、おそらくは複数の安全でないファイル転送プロトコル(FTP)サーバーから取得されたことが判明しました。「攻撃者は、不適切に設定されたFTPログイン認証情報を使って脆弱なNetgearルーターにアクセスするという、広く知られた手法を用いていました」とRecorded Futureは述べています。
2年前、研究者らは、リモートデータアクセス機能を備えたNetgearルーターは、デフォルトのFTP認証情報が更新されていない場合、攻撃を受ける可能性があると警告しました。それから時間が経ったにもかかわらず、この問題は依然としてよく見られます。Recorded Futureの調査では、攻撃を受ける可能性のあるルーターが4,000台以上特定されました。
![ドローン販売ダークウェブマーケット広告 [出典:Recorded Futureブログ投稿]](https://image.brawte.com/anejbkmn/a6/86/drone_sale_ad.webp)
ダークウェブマーケットのドローン広告
攻撃は容易ではありませんでした。Shodanのマシンデータ検索エンジンを活用し、ハッカーはインターネットの広範囲をスキャンし、標準ポート21を使用して侵入したマシンから貴重な文書をすべて盗み出す、設定ミスの多いルーターを探しました。
最近コンピューターが侵入されたとみられる機長は、サイバーセキュリティ啓発コースを修了していたものの、機密ファイルをホストするFTPサーバーにパスワードを設定していなかった。研究者らによると、このパスワード設定によりハッカーはドローンのマニュアルを容易にダウンロードできたという。ハッカーが販売していた他の10数枚のマニュアルの正確な入手先は依然として不明である。
「Recorded Futureには情報源が明かされていません。しかし、内容から判断すると、国防総省か米軍関係者から盗まれたものと思われます。」
ハッカーは、国境監視カメラや航空機からの機密性の高いライブ映像を見る習慣があることも漏らした。「この俳優は、メキシコ湾のチョクタハチー湾上空を飛行するMQ-1プレデターの映像にアクセスできたと自慢していたほどだ。」
研究者らは、米軍マニュアルの違法販売に関与しているとみられるグループに所属する人物の「氏名と居住国」を特定した。Recorded Futureは関与国を特定していないものの、機密文書の取引に関する「法執行機関の捜査に協力」し続けていると述べた。
初期の兆候は、組織犯罪や国家が支援するハッカーではなく、単独のハッカーか少人数の仲間による犯行であることを示唆している。
ダークウェブのバザールでは、個人情報を含むあらゆる種類の悪質な情報が売り出されているが、機密情報はほとんど提供されていない。Recorded Futureは、今回のケースはほぼ前例がないと述べた。
個人情報、ログイン認証情報、財務情報、医療記録といった機密データがダークウェブ上で販売されているのが発見されることは珍しくありません。しかし、ハッカーが軍事文書を盗み出し、それを公開市場で売却しようとすることは極めて稀です。®
