更新オーストラリア原子力科学技術機構(ANSTO)は、金曜日にハッカーが科学者のユーザー名とパスワードを盗んだオーストラリアシンクロトロンのコンピューターセキュリティ侵害を調査している。
いまだ出所不明のハッカーが、ANSTOや第三者機関の研究者がビクトリア州の原子核実験施設の利用時間を申請できるウェブポータルをホストするシステムを攻撃しました。ハッカーらは、優秀な人材のメールアドレスと暗号化されたパスワードを盗んだと伝えられています。
この施設は、亜原子粒子の研究からバイオメディカル、製薬、製造まで、幅広い科学および防衛用途に使用されています。
The Registerが確認した、オーストラリア シンクロトロン ユーザー ポータルのユーザーに今日午前 1 時に送信された電子メールによると、デジタル侵入は 1 月 27 日金曜日に未公開の脆弱性により発生したとのことです。
メールには、「オーストラリア・シンクロトロンは、1月27日(金)に発生したセキュリティ上の脆弱性を悪用され、登録ユーザーのメールアドレスと暗号化されたパスワードが不正取得された件について、オーストラリア・シンクロトロン・ユーザーポータルのユーザーの皆様にお詫び申し上げます」と記載されています。この脆弱性に対処するため、直ちに対策を講じており、現在、オーストラリア・シンクロトロン・ユーザーポータルの包括的なセキュリティレビューを実施中とのことです。
このポータルでは、ユーザーに名前、学歴、所属、部門、役職の入力を求めており、住所、電話番号、国籍、性別を入力するフィールドも用意されている。
レジスター紙は、オーストラリア・シンクロトロン研究所に対し、セキュリティ侵害の範囲についてコメントを求めました。研究所の広報担当者はすぐには回答できませんでした。
ボフィンリーの中枢…オーストラリアシンクロトロン(クリックして拡大)
YouTubeビデオ
パスワードの一方向暗号化にどのハッシュアルゴリズムが使用されたかは不明です。時代遅れでありながら悲惨なほど普及しているMD5ではなく、bcrypt、PBKDF2、あるいは最先端のArgon2のようなアルゴリズムが使用されていることを願います。施設側は、予防措置として会員にパスワードの再設定を要請しています。
フォーム記入…施設利用申込ページ(クリックで拡大)
パスワードが解読されれば、他のウェブサイトで同じパスワードとメールの組み合わせを再利用しているマニアは、それらのアカウントも制御できなくなる可能性があります。®
最新情報: シンクロトロンの広報担当者は、ハッキングされたネットワークは機関の他の部分から隔離されており、ANSTO はユーザー データベース以外のシステムが侵害された可能性を排除できると連絡を取っている。
このデータベースは、オーストラリア唯一の原子炉があるANSTOのルーカスハイツキャンパスからも完全に分離されています。
「予防措置として、全ユーザーにパスワードのリセットを要求しました」と広報担当者は述べた。
