かつて、すべてのテクノロジーオタクがRaspberry Piを所有すべき理由について論説記事を掲載しました。しかし、無許可のRaspberry Piを悪用してNASAジェット推進研究所(JPL)をハッキングすることは、端的に言って、悪いアイデアでした。
OIGは報告書の中で、研究所のセキュリティのあらゆる側面を容赦なく指摘した。報告書は、JPLのネットワーク管理・監視方法、インシデントへの対応、そしてそれらのインシデントから得た「教訓」の共有方法に関する問題点を概説した。また、NASAはJPLのセキュリティ対策に対する十分な監督体制を欠いているとも指摘した。この報告書を読んだからといって、他の惑星の探査や深宇宙ネットワークの管理を担うJPLに対する懸念が少しでも和らぐことはおそらくないだろう。
2018年4月のハッキング事件は、JPLがネットワークに接続された機器を追跡するために使用していた情報技術セキュリティデータベース(ITSDB)の管理方法に問題があったため、事態が深刻化しました。あるいは、研究所がデータベースを不適切に管理し、それが他のずさんなセキュリティ対策と相まって、Raspberry PiがNASAの研究施設へのハッキングに利用される事態につながった、と言った方が正確かもしれません。
OIGは報告書の中で次のように説明した。
さらに、システム管理者は、ネットワークにデバイスを追加した際に、インベントリシステムを定期的に更新していませんでした。具体的には、サンプルに含まれる13のシステムを管理する11人のシステム管理者のうち8人が、各システムのインベントリスプレッドシートを別途管理し、そこからITSDBの情報を定期的に手動で更新していることがわかりました」と報告書は述べています。
あるシステム管理者は、データベースの更新機能が時々機能せず、資産情報の入力を忘れてしまうため、ITSDBに新しいデバイスを定期的に登録していないと話していました。その結果、セキュリティ担当者による適切な識別と審査を受けずに、資産がネットワークに追加される可能性があります。2018年4月のサイバー攻撃では、この脆弱性が悪用されました。ハッカーは、JPLネットワークへの接続が許可されていないRaspberry Piコンピューターを標的として、JPLネットワークにアクセスしました。JPL(最高情報責任者)の審査と承認なしに、このデバイスをJPLネットワークに接続することは許可されるべきではありませんでした。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Raspberry Piは、小さなフォームファクターで驚くほど高性能なプラットフォームを提供し、いじくり回すのに最適であることから人気があります。JPLは、かわいらしい名前の付いた安価なデバイスでさえ、ロボットを宇宙に送り込むシステムを弱体化させてしまう可能性があることを、身をもって学びました。
