Infosec Europeエンタープライズテクノロジーではほとんど撲滅された長年のセキュリティ問題が海上環境でも依然として残っており、船舶はハッキングや追跡、さらに悪い攻撃に対して脆弱な状態になっています。
ロンドンで開催された Infosecurity Europe カンファレンスで、Pen Test Partners (PTP) の Ken Munro 氏と Iian Lewis 氏が行ったデモでは、海運業界を妨害し混乱させる複数の方法が紹介されました。
脆弱なデフォルトパスワード、ソフトウェア更新の未適用、暗号化の欠如(いずれも粗悪なIoTキットを思い起こさせる)が、船舶や関連業務に対するさまざまな攻撃を可能にすると、カンファレンスの聴衆は説明された。
三菱アウトランダーと電気ケトルのハッキング方法を披露した情報セキュリティのデモを経て、チームは衛星通信やその他の海上システムに注目しました。英国を拠点とするセキュリティコンサルティング会社のスタッフには元船員も含まれており、彼らの観察力は特に鋭敏でした。
PTP船ハックデモ
IoT検索エンジン「Shodan」が船舶追跡ツールを公開しました。PTPはこれを利用し、衛星通信端末のバージョン情報とリアルタイムのGPS位置情報をリンクするシステムを構築しました。これは脆弱な船舶追跡ツールです。端末のソフトウェアバージョンが分かれば、悪意のある人物はセキュリティ上の弱点やハッキング方法を把握できる可能性があります。
PTPは、クリック可能な地図を作成しました。この地図では、無防備状態の船舶がハイライト表示され、リアルタイムの位置情報も表示されます。Infosecでは、1週間前のデータがデモされました。このトラッカー(こちらから入手可能)は、データの更新を意図的に省略し、過去のデータのみを表示することで、ハッカーにとって何の役にも立たないようにしています。
脆弱性を悪用して船舶の衛星通信端末の管理者権限を乗っ取るのは手間がかかりすぎると思われる場合、攻撃者は弱いパスワードやデフォルトのパスワードを悪用することができます。
PTPは、「船舶に搭載されている多くの衛星通信端末は、公共のインターネットで利用可能だ。多くの端末はデフォルトの認証情報を使用しており、admin/1234が非常に一般的だ」と報告している。
![船橋のパスワード失敗 [出典: Pent Test Partners のブログ投稿]](https://image.brawte.com/anejbkmn/48/48/bridge_password_fail.webp)
船橋のパスワード失敗...出典:Pen Test Partners
PTPは、高価な機器であるコブハム・フリートワン衛星端末を調査し、メーカーのガイダンスに従って強力な管理者パスワードを設定することで解決可能な脆弱性をいくつか発見しました。PTPは、コブハムからの修正が完了するまで、その他の脆弱性に関する詳細は公表していません。
研究チームは、管理インターフェースがTelnetとHTTP経由で接続されていたことを発見しました。これらの環境ではファームウェアの署名が欠如しており、検証は巡回冗長検査(CRC)のみで行われていました。また、研究者は端末上で実行されているWebアプリケーション全体を編集することができました。さらに悪いことに、ファームウェアにはロールバック保護がありませんでした。
「これは、ある程度のアクセス権を持つハッカーが、より脆弱な古いファームウェアバージョンをインストールすることで権限を昇格できることを意味します」とPTPは述べています。「最終的に、管理インターフェースのパスワードが設定ファイルに埋め込まれ、ソルトなしのMD5でハッシュ化されていることを発見しました。」
これらはすべて、強力な管理者パスワードによって修正されます。
困った状況に陥る
船舶におけるネットワークの分離はほとんど行われていません。つまり、衛星通信端末をハッキングできる人なら誰でも船舶ネットワークにアクセスできることになります。
電子海図情報表示システム(ECDIS)は航海に使用され、自動操縦装置に直接接続できます。現代の船舶のほとんどは、ECDISの航路に沿って航行します。
「ECDISをハッキングすると、特に霧の中では船を墜落させる可能性があります」とPTPは警告した。「若い乗組員は、窓の外を見る代わりに電子画面を信じてしまい、画面に固執しすぎる傾向があまりにも多いのです。」
研究者たちは20種類以上のECDISをテストし、複数のセキュリティ上の欠陥を発見した。「ほとんどのECDISは古いOSを使用しており、中には軍隊でよく使われているものもあり、今でもWindows NTが動作している。」
あるECDISユニットには、設定インターフェースの保護が不十分でした。「これを利用すると、船上のGPS受信機の位置を偽装することで、船を『ジャンプ』させることができました」とPTPは述べています。「これはGPSスプーフィングではなく、ECDISにGPS受信機が船上の別の位置にあると伝えることです。GPSオフセットを導入するのと似ています。」
研究チームは、これを悪用して船をドーバー港の一方から他方へジャンプさせる方法を示した。
PTPはまた、ECDISを再構成することで、船舶を1平方キロメートルの大きさに見せることも可能であることを発見した。ECDISは船舶同士の衝突回避に用いられる自動識別装置(AIS)の送受信機に信号を送ることが多いため、このトリックを使えば航路を遮断できる可能性がある。
「衝突警報が鳴っている間に、船が混雑し狭い航路を進み続けるのは、実に勇敢な船長と言えるでしょう」とPTPは指摘した。「イギリス海峡を封鎖すれば、我々のサプライチェーンに影響が及ぶ可能性があります。」
ここはフェリクストウじゃないよ…
別の手法としては、商船の操舵装置、エンジン、バラストポンプなどを制御するオペレーションテクノロジー(OT)システムを活用する方法があります。これらのシステムはNMEA 0183仕様に基づいて通信します。
これらのメッセージは平文で、認証、暗号化、検証は行われません。「中間者攻撃によってデータを改ざんするだけです」とPTPは警告しています。
![船の舵のハック [出典: PTP ブログ投稿]](https://image.brawte.com/anejbkmn/3b/db/ship_rudder_hack.webp)
船の舵ハック
「これは、よく知られており簡単に検出できるGPSスプーフィングではなく、小さなエラーを挿入してゆっくりと巧妙に船舶の進路を外れさせるものです。」
PTP のデモでは、攻撃者が GPS 自動操縦コマンドを変更することで舵のコマンドを変更できることが示されました (上記)。
PTPは、こうした問題のほとんどは主流のITシステムでは何年も前に解決されているため、船舶のセキュリティ対策はまだ初期段階だと警告した。
「常時接続の衛星通信の登場により、船舶はハッキング攻撃の脅威にさらされています。船主と運航者はこれらの問題に迅速に対処する必要があります。さもなければ、船舶におけるセキュリティインシデントがさらに増加するでしょう」と研究者らは結論付けています。®
