米国の軍事装備ではコンピューターセキュリティの脆弱性が蔓延しており、国防総省はそれを修正する方法を理解し始めたばかりだ。
これは、米国政府監査院(GAO)が作成した、米国軍のサイバーセキュリティ実践に関する10月の報告書[PDF]によるものだ。
「国防総省、脆弱性の規模への取り組みを開始したばかり」という控えめなタイトルで始まるこの報告書は、マイクロコントローラー、産業用制御システムボード、管理ソフトウェアといったコンポーネントに存在する既知の悪用可能な欠陥が、修正プログラムが適用されず、対処計画もほとんどないことを概説している。ますます多くの機器がコンピュータネットワークやインターネットに接続され、そこから脆弱性が悪用される可能性がある状況において、これは深刻な問題である。
「GAOをはじめとする機関は数十年にわたりサイバーリスクについて警告してきたが、国防総省は最近まで兵器システムのサイバーセキュリティを優先事項として考えていなかった。結局のところ、国防総省は兵器システムのサイバーセキュリティに最善の対処方法を模索している最中だ」と、この痛烈な報告書は述べている。
「運用テストにおいて、国防総省は開発中のシステムにミッションクリティカルなサイバー脆弱性を定期的に発見していたが、GAOが面会したプログラム担当者はシステムが安全であると信じており、一部のテスト結果を非現実的として無視していた。」
核実験室のセキュリティ研究でハッカーにボディセンサーを装着する米国
続きを読む
監査人らによると、問題は国防総省自体の構造(ネットワークと情報セキュリティが兵器システムや調達から分離されている)と、兵器が機能するためにネットワーク接続とスマート接続にますます依存するようになっていることの両方にあるという。
その結果、報告書は、国防総省がミサイル誘導システムや戦闘機などのシステムにおいて、パッチ適用が必要な箇所とその実施方法を把握し始めたばかりだと指摘している。GAOによると、新しいシステムでさえ、デフォルトのパスワードや暗号化されていないデータ接続といった重大な脆弱性やリスクを抱えたまま導入されているという。
「国防総省は歴史的にネットワークのサイバーセキュリティに重点を置いてきたが、兵器システムそのものには重点を置いていなかったこともあり、国防総省はサイバーセキュリティを兵器システムに適用する方法を理解しようとする初期段階にある」と報告書は述べている。
「国防総省の複数の当局者は、兵器システムのサイバーセキュリティに関して何が効果的で何が効果的でないかを国防総省が理解するには、ある程度の時間がかかり、場合によっては失敗も起こるだろうと説明した。」
レポートから抜粋したその他のハイライトは次のとおりです。
- 政府に雇われ、ネットワーク防御をテストする「レッドチーム」に所属していたセキュリティ専門家が、米国国防総省のシステムに侵入し、再起動させたが、誰も気づかなかった。システムは原因不明のクラッシュに見舞われたのだ。別のケースでは、テスターが「ユーザーの端末にポップアップメッセージを表示させ、操作を続行するには25セント硬貨を2枚挿入するよう指示した」という。
- あるケースでは、防衛側のテスト担当者は、システムのセキュリティを承認するまでに「システムを操作できる時間はわずか41時間」しかなかった。
- 「私たちが会ったあるプログラムの担当者は、パッチはリリース後21日以内に適用する必要があるが、システムの複雑さのため、パッチを完全にテストするには数か月かかる可能性があると話していました。」
- 「プログラムオフィスは、どのような産業用制御システムが兵器に組み込まれているか、また、それらを使用することでセキュリティにどのような影響があるかを把握していない可能性があります。」
- あるテスト報告書によると、テストチームは9秒で管理者パスワードを推測できたとのことです。複数の兵器システムでは市販ソフトウェアまたはオープンソースソフトウェアが使用されていましたが、ソフトウェアのインストール時にデフォルトのパスワードが変更されていなかったため、テストチームはインターネットでパスワードを検索し、そのソフトウェアの管理者権限を取得することができました。
- 侵入検知システムが導入され、正しく動作していたとしても、「警告があまりにも頻繁に行われ、オペレーターはそれに慣れてしまっていた」ため、警告は無視されていました。
- 「テストチームの活動はシステムログに記録されていたが、オペレーターはそれを確認しなかった」、また 1 つのシステムには「ログを確認するための手順が文書化されていなかった」。
レガシーソフトウェアは人を殺すことになる
たとえアメリカの技術者たちが、強力なパスワードを使用したり、ソフトウェアにパッチを当てたり、その他の重要な「愚かな行為をしてはいけない」機能を実装したりして軍の最新システムのセキュリティを確保できるほど知識が豊富であったとしても、監査人は、ほとんどすべての新しい装備は、古くて安全でないシステムに接続する必要があるため、いずれにしても潜在的に攻撃に対して脆弱であると主張した。
報告書では、おそらくセキュリティが不十分な「システムの世代全体」が存在し、「国防総省が新しいシステムのセキュリティを強化したとしても、それを古いシステムに接続すれば、新しいシステムが危険にさらされる」と述べている。
一部のシステムは適切にテストすることすらできません。あるシステムは独自のブラックボックスのハードウェアとソフトウェアを使用しており、セキュリティ テスターが立ち入り禁止となっている請負業者の企業ネットワークへの接続に依存していました。
明るい面としては、監査役らによると、軍は2014年以降、「サイバーセキュリティを強化した兵器システムの推進を目的とした、省庁横断的なポリシー、ガイダンス文書、覚書を少なくとも15件発行または更新」しており、既存の情報セキュリティポリシーは「兵器システムに明示的に適用されている」とのことだ。つまり、それで問題ないということだ。
一方で、監査役らは、国防総省はサイバーセキュリティ部門の開発(つまり、技術者の増員)への取り組みを強化し、部門間のコミュニケーションをより良く調整して脆弱性や脅威に関する情報を相互に共有できる方法を見つけることに引き続き注力すべきだと述べた。®
