米国政府監視機関、武器システムに大量の脆弱性を発見。国防省の対応に遅れ

次の記事

Dropboxにユーザーのすべての画像とPDFを自動的にOCRする機能が登場

米国政府監視機関は、国防省が重要武器システムをサイバーアタックから守る対策が十分ではないことを指摘した。

政府説明責任局(GAO)は火曜日に発行した最新レポートで、国防省は「武器セキュリティーを優先課題としていない」と言った。ここ数年で改善がみられるものの、武器システムの保安に対する「当初の理解のなさ」ゆえに、今も国防省は「武器システムサイバーセキュリティーへの取り組み」に苦闘している。

GAOは国防省の武器システムセキュリティーの見直しを依頼され、大量の脆弱性を発見した(機密情報であるために内容は公開されなかった)。しかし国防省は「問題の全貌を理解していない可能性が高い」。

武器が依存するシステムに対する攻撃が成功すると、武器の効力に影響を与え、ミッション実行の妨げや、物理的ダメージ、さらには人命の喪失につながる可能性がある。。

報告書によると、監視機関のテスト担当者は、比較的単純なツールと技法を使って、ほぼ気づかれることなくシステムの制御を握り、操作する事ができた——貧弱なパスワード管理と暗号化されていない通信が原因だ。

「テスト担当者は、オペレーターの見ている画面をリアルタイムで見て、システムを操作することができた」。オペレーターがリクエストに答えた内容も監視することができた、と報告書に書かれている。

「別のテストチームは、ユーザーの端末に、操作を継続するためには25セント硬貨を2枚入れるようにと指示するメッセージをポップアップ表示させた」とも書かれている。

あるケースでは、テスト担当者がサーバーから100 GB以上のデータを気づかれることなくダウンロードすることに成功した。

“Here’s my password.” (Photo credit: EMMANUEL DUNAND/AFP/Getty Images)

利用された欠陥の多くは、システムが商用あるいはオープンソースソフトウェアを「デフォルトのパスワードを変更せずにインストール」し、テストチームはインターネットでパスワードを探してそのソフトウェアの管理者権限を得ることができた」ためだった。

ほかにも、既知の脆弱性の悪用方法が開発されネットで公開されていたにもかかわらず、ソフトウェアをパッチしていなかったケースも報告されている。

しかしこれらは、GAOが限られたテストの中で発見した、低スキルのハッカーでも損害を与えられる基本的な問題に過ぎない——海外の敵や国が支援するグループに雇われているかもしれない、よりスキルの高い数多くのアタッカーについては考慮されていない。

過去4年間、国防省は10件以上の省内メモとポリシーを発行して全体的サイバーセキュリティーの改善に努めてきた。GAOによると、同省が新たなサイバーセキュリティー対策の取り組みを立ち上げ、実施することが「緊急」課題であると語った。

国防省の報道官は本誌のコメント要求に対して即答しなかった。

[原文へ]

(翻訳:Nob Takahashi / facebook