船舶を守るセキュリティの在り方
2020 年 2 月 21 日 Emil Hozan 著
侵入テスト、およびセキュリティサービスのビジネスを展開する Pen Test Partners 社(PTP)は、いくつかの異なる船舶に対して侵入テストを実施し、調査結果を詳述した セキュリティブログを公開しています。深海探査掘削装置 Moss Maritime CS55、海底調査船、新しいクルーズ船などが調査対象となっています。この調査結果について筆者は考えました。海外に散在する、遠隔地にあるネットワークにサイバー攻撃を仕掛けて成功する可能性というのはどれほどのものか?また、これらの攻撃が意味することとは何なのか?少し考えてみれば当然なのですが、同時に忘れてはいけないのは、インターネットに接続されたシステムはインターネット接続があればどこからでも利用できるということです。つまり、答えの一部は明らかです。攻撃者が IP アドレスを持っていれば、ネットワークをスキャンしてプロファイルを作成できるので、ネットワークの物理的な場所は関係ありません。そして後半部分は、そもそも船舶の用途によって異なります。
船舶の目的はそれぞれ異なるので、どのような標的が攻撃者にとって魅力的かを判断するのは容易ではありません。通常このような犯行は金銭を目的として行われるので、関心を向けられやすいのは、侵害によってより高額な見返りを期待できる船でしょう。石油掘削装置や、またはクルーズ客船にランサムウェアを感染させるところを例にとります。たとえば石油掘削装置がランサムウェアに感染したとして、装置が事実上一時停止してしまった場合、石油の抽出は中断し、ワークフローも滞るので、石油配給量の不足につながります。船を正常な状態に戻すために攻撃者が要求してくる支払い額は多額になるに違いありません。クルーズ船やコンテナ船の場合との違いを考えてみてください。お金を稼ぐことが滞ってしまうという事態を利用することは絶好のチャンスであるように見えます(筆者が石油掘削装置やクルーズ客船への攻撃を計画しているわけではありません)。
このレポートについて別段驚きではなかったことは、IT インフラストラクチャが展開されている場所には、必ずと言っていいほど愚かなセキュリティ上の誤りが存在するということです。コンピュータの端末に投稿されたパスワード、またはメインネットワークへの接続中にブリッジアクセスポイントによって Wi-Fi の範囲を拡張するようなものです。インターネットに接続されているシステムでデフォルトの認証情報をそのまま使っている場合もあります。
重大なセキュリティの欠陥
前述の内容をさらに広げると、IT セキュリティの欠陥は、当然 IT システムが導入されているところに存在します。脆弱なパスワードの使用と、パッチの未適用が、ここでは大きな 2 つの論点です。脆弱なパスワードの使用の具体例には、デフォルトの認証情報を使っていること、さらに悪い場合には、認証情報なしでアクセスできる、というものがあります。一部のパスワードには船舶の名前が使用されていたため、他の船舶のパスワードの推測も極めて簡単であったことが記事では指摘されています。
パッチの適用に関しては、調査によりコードインジェクションの脆弱性がいくつか明らかになりました。記事では、以下のように書かれています。
「クルーズ業界で使用されている予約と在庫の管理用ソフトウェアスイートに、パッチ未適用のコードインジェクションの脆弱性が(複数回)発見されました。たとえば無料の飲食ができるとしましょう。これとデフォルトのログイン認証情報を組み合わせれば、無料の Wi-Fi、無制限の無料通話を追加することができます。そして好きなキャビンのドアの鍵にいつでもアクセスできる権利も追加することができます。」
この調査で特に興味深い点の 1 つは、評価された 15 隻の船舶のうち、真のエアギャップネットワークを備えた船舶は 1 隻のみであったことです。どの船のオペレータも、エアギャップネットワークを備えているつもりだったようです。中には、PC が別のネットワークに繋がれている船もありました。
もう 1 つの興味深い発見は、船舶の運用担当者やオーナーが知らないところで、TeamViewer のインストールが実行されていたことです。その TeamViewer のバージョンは「笑ってしまうほど粗末な認証情報を持つ脆弱なバージョン」でした。もちろん、残念ながら IP アドレスやユーザネームやパスワードの含まれる平文ファイルも置いてありました。
要約とヒント
この時点で、IT システムを使用している業界ではセキュリティ対策が不十分であることは明らかです。セットアップの緩さには驚きましたが、一方でこのようになったのは、従業員が、許可されていないユーザーが船舶の IT システムに侵入する事態を真の脅威だと捉えていなかったからではないか、との疑念が拭えません。誤解のないように言っておくと、パスワードが不適切で、古くて脆弱なバージョンのソフトウェアを実行している一般向けシステムというものは、そもそもそれ自体が問題です。さらに船の特定の部分に Wi-Fi シグナルを拡張していたことも、適切とは言えませんが、ストリーミング上の利点があることも理解はできます。周りに誰もいない海上のような孤立した状況にある、ということを考えれば、たしかにこのような設置方法を採用するのかもしれませんが、依然として、中核のシステムは、当然セグメント化すべきです。万が一の事態に備えて予め防護策を持っている方が安全です。たとえば VLAN を用いてネットワークを分離し、適切なアクセスのルールを決めておくなどの対策が必要です。
ここで提案できるヒントは、どんなネットワークに対しても言えることです。脆弱なシステムを公開しない、システムにはパッチを適用する、強力なパスワードを使用する、設定ミスがないことを確認する、といったことです。それを徹底したあとは、PTP 社が行ったようなセキュリティ評価を行うのが、これらの脆弱性を明らかにする良い手段です。政府や都市、MSP に対するサイバー攻撃はますます増加しており、セキュリティ評価をある程度定期的に行うことは、IT を展開するプロセスに不可欠な要素であると考えます。IT インフラストラクチャをセットアップし、セキュリティ評価を実行して、確実に適切な構成をしましょう。しばらく使用して時間が経ったら、再び評価を実行し、評価結果や変更点を比較してみましょう。