コンテナ船のITシステムのメンテナンスが不十分なため、船舶がサイバー攻撃や大惨事の危険にさらされているという主張がある。
これは、セキュリティ企業Pen Test Partnersの今週の発表によるものです。彼らは、1990年代初頭に遡る海洋関連機器がインターネットに公開され、悪意のある人物に悪用されるケースがあることを発見しました。また、多くの機器にはハードコードされたパスワードが設定されており、簡単に解読可能です。
これは、1990年代のヒット映画『ハッカーズ』の筋書きに基づいた、ある種のファンタジーのように思えるかもしれません。アシッド・バーンとゼロ・クールという2人のヒーローが、サイバー空間で仲間たちと競い合い、石油タンカーを沈没させようとするマルウェアを阻止しようと奮闘する物語です。しかし、英国に拠点を置くPen Test Partners(PTP)は、これまでにも実際に脆弱性を発見した実績があるので、ここでも彼らの言うことを鵜呑みにするのはお許しください。
「国家や犯罪組織など、何らかの動機があれば、船舶の沈没を引き起こすことは可能です」とPTPコンサルタントのケン・マンロー氏は説明した。「ガスが不足している国へのLNG輸送を冬季に遅らせ、スポット価格に影響を与えようとする者もいるかもしれません。」
では、この理論上のハッカーは、具体的にどのようにして船を沈没させたり、襲撃したりするのでしょうか?マンロー氏によると、一般的なコンテナ船に大混乱を引き起こすには、バラストタンクに手を加え、船体の重量配分を船体のある部分から別の部分に移し、船を傾けるだけで十分だということです。
現代のコンテナ船は、基本的に船体を浮かべた構造で、船体の安定性を保つために積み上げられた貨物を高く積み上げています。片側のバラストタンクを吹き飛ばし、もう片側のタンクに満タンにすると、船体は不安定になる可能性があります。特に、攻撃を受けた船舶が25ノットの速力で急旋回を強いられる場合はなおさらです。
マンロー氏の説明によると、ハッカーが船のコンピュータネットワーク内に足場を築いてしまえば、例えばデジタルコンパスやGPS受信機のような脆弱なエッジデバイスを見つけたり、船長や乗組員の個人用ラップトップにマルウェアを送り込んだりするだけで、これは恐ろしく簡単に達成できるという。
海上のITはデータを容易に見ることができる:船舶は基本的に巨大な浮かぶセキュリティの悪夢である
続きを読む
攻撃者が船舶ネットワークに侵入すると、重要なバラストポンプや自動操縦装置(ECDIS)を管理する産業用制御装置へのアクセスを阻止する防御策や対策はほとんどないと考えられます。船舶システムにはファイアウォールや侵入検知システムがほとんど搭載されておらず、一度侵入されるとマルウェアは自由に活動できるのが一般的です。
「一部の ECDIS デバイスは今でも Windows XP を実行しており、1993 年にリリースされた Windows NT も、それほど多くはないが実行していることを忘れないでほしい」とマンロー氏は説明した。
「まともな攻撃者なら、これらのオペレーティングシステムを一日中悪用しても、痕跡を効果的に隠蔽することができます。つまり、これらのシステムが保持するデータの信頼性を確立することは、良くても困難、最悪の場合不可能になるということです。」
マンロー氏とそのチームが海運業界のセキュリティ対策の甘さを批判するのは今回が初めてではない。昨年の夏、ペンテストパートナーズは、接続機器や船上追跡装置のバグを悪用して、公海上の船舶に悪意ある者が仕掛ける無数の手口を紹介する包括的なプレゼンテーションを作成した。®
