利便性とセキュリティのせめぎ合いが、新たな犠牲者を出した。米軍だ。セキュリティ企業Recorded Futureは今週、ハッカーが米空軍の機密文書を盗み出し、ディープウェブとダークウェブで売りに出したと報告した。これらの文書はどのように盗まれたのだろうか? 高度な技術は必要としなかった。Shodanを使った簡単な検索と、Netgearルーターのセキュリティ脆弱性を悪用しただけだった。
デバイスが見つかれば、アクセスは容易でした。これは、2016年2月に初めて明らかになったNetgearルーターの脆弱性が原因です。この脆弱性は、ルーターに接続されたファイル転送プロトコル(FTP)サーバーに関するNetgearのデフォルト設定に存在しています。ルーターの所有者がこれらのFTPサーバーへのアクセスにパスワードを設定していない場合(そして絶対に設定すべきです)、Netgearは誰でもアクセスできるようにしてしまうのです。
これらはどれも技術的に高度なものではありません。Netgearが顧客にパスワードの使用を強制するのは容易です。顧客が独自のパスワードを設定するのは既に容易であり、FTPサーバーへのアクセスをただ待っている、セキュリティ保護されていないNetgearルーターを見つけるのは、さらに容易です。今回のケースでは、Netgearは単にユーザーがデータにできるだけ簡単にアクセスできるようにしたかっただけなのです。しかし、その行為によって、たまたま全員が危険にさらされてしまったのです。
Recorded Futureによると、同社が発見し連絡を取ったハッカーは当初、米空軍、海軍、CIA、その他の軍・情報機関が使用するMQ-9リーパー無人機に関する文書を販売していたという。リーパー無人機は、米軍が活動する地域ではほぼどこにでも見られるようになり、データ収集からミサイル攻撃まであらゆる用途に使用されている。そのため、その仕様を守ることは極めて重要だ。
最近のもう一つのミスは、LBIの電気技師が関与したものだ。司法省によると、LBIは「米海軍の海軍研究局向けの無人潜水艇と、米国海洋大気庁(NOAA)の気象データ収集に使用される展開式氷上ブイを設計・製造」した防衛関連請負業者である。この技師は、LBIの企業秘密の流出を計画した罪で有罪判決を受けた。
こうした秘密は、もう少し慎重に盗まれたはずだと思いませんか?いいえ、違います。司法省は、このエンジニアが「数千ものLBIファイルをDropboxの個人アカウントにこっそりとアップロードした」と述べています。そうなると、Gmailで暗殺計画を企て、Instagramで武器を売るのと同じようなものかもしれません。(まあ、それほど悪くはないですが。それでも、防衛関連企業から盗む方法としては、やはり疑問が残ります。)
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
どちらの事件も、技術力の高さを示すものではありませんでした。米空軍から盗まれた文書のセキュリティを確保するのは容易だったでしょう。パスワードを設定するだけで済んだのです。企業秘密の盗難も、Dropboxにアップロードするのではなく、例えば物理ドライブ経由で密かに持ち出せば、より容易になっていたでしょう。ここでの教訓は、ハッカーは成功するために高度な攻撃に頼る必要はなく、人々の無関心を食い物にすればいいということです。
