商用船舶や石油掘削装置を調査する侵入テスト担当者らは、多数のセキュリティ上の不備や脆弱性を発見した。その中には、海上の掘削装置を完全に制御できる脆弱性も含まれていた。
情報セキュリティコンサルティング会社Pen Test Partners(PTP)は、その名の通り、海上における適切な情報セキュリティ対策の重要性を理解している海事関連企業は全体として多くないと分析しています。PTPが1年間実施した海事関連ペネトレーションテストで最も注目すべき発見は、同社の研究者が石油探査に用いられる深海掘削リグに「完全な侵入」を仕掛けることができた可能性があるという点です。
PTP のケン・マンロー氏は、レジスター紙が当然の質問を投げかけた際、これは「エンジンを停止し、スラスター(自動船位保持システム)を始動し、舵の位置を変え、ナビゲーションをいじり、システムを壊し、電源をオフにする、などなど」を意味すると説明した。
同社のナイジェル・ハーン氏は、多くの海事技術ベンダーがセキュリティに対して「多様な」アプローチを取っていると説明した。
ハーン氏は、過去1年間に見たものを要約するのに「貧弱」という言葉を多用し、自分と同僚が深海探査や前述の掘削装置から真新しいクルーズ船、パナマックスコンテナ船、そしてその間のいくつかの船まで、あらゆるものを調査したと書いている。
マンロー氏も今週、関連するブログ記事を公開した。
海上のITはデータを容易に見ることができる:船舶は基本的に巨大な浮かぶセキュリティの悪夢である
続きを読む
研究チームが発見したものの中には、船内のWi-Fiが使えないエリアに秘密のWi-Fiアクセスポイントが設置されていたこと(「乗組員はWi-Fiが使えない作業エリアで音楽や動画をストリーミングしたいのです」とマンロー氏は語る)、そして船の工学制御システムとヒューマンインターフェースシステム間の設計されたギャップを乗組員が埋めていたことなどがある。
なぜ船員たちは、情報セキュリティに関心のある人にとっては明らかに愚かなことをしていたのでしょうか?マンロー氏はこう語りました。「船内のどこか別の場所から誰かがシステムを管理または監視し、長い距離を歩く手間を省く必要があります。船は大きいのですから!」
マンロー氏が提案したもう一つの説明は、Wi-Fi が通常有料で従量制であるクルーズ船の乗組員に当てはまるかもしれない。「乗組員個人の衛星データ使用量が使い果たされたので、制限のない船のビジネス ネットワークに不正な Wi-Fi AP を設置したのだ。」
パナマックス船(大西洋と太平洋を結ぶ中米の重要な海運動脈であるパナマ運河を通過できる最大船型)は、船首から船尾まで最大294メートル(PDFの8ページに寸法が記載されています)にもなります。例えば、船首推進装置から船尾にある主機関制御室まで移動し、また戻ってくる必要がある乗組員は、かなりの時間を費やすことになります。わざわざ歩くよりも、間に合わせのリモートアクセス装置を整備する方がはるかに簡単です。
PTP は、情報セキュリティの定番である、デフォルトで推測しやすいパスワードが使われていることや、パスワードがプレーンテキストで書かれたステッカーが PC に貼られていることも発見しました。
船上のデフォルトパスワード。写真:Pen Test Partners
「最大の驚きのひとつは(今にして思えばまったく驚くべきことではなかったのですが)、一般公開されているシステムでさえ、デフォルトの認証情報(admin/admin または空白/空白)を使用しているインストールが依然として多数あることです」とハーンはため息をつき、車載 CCTV システムを含むデフォルトの認証情報を使用しているすべてのシステムを詳細に説明しました。
侵入テスト担当者らは、船の衛星通信装置(Satcom)などの重要な機器に埋め込まれた「ハードコードされた認証情報」も発見した。これにより、船上の誰でもログインして船主の有料インターネット接続に便乗したり、接続を切断したりできる可能性がある。®
追記:ペンテストパートナーのコンサルタントであるアンドリュー・ティアニー氏は、前述のセキュリティホールの発見に協力してくれた 2 人の匿名の人物に感謝の意を表しました。
