セキュリティ研究者たちは、遠隔から簡単に解凍を指示できる、インターネットに接続された何千台もの業務用冷凍庫をみつけた。
この脆弱性を発見した、セキュリティ研究者の一人であるNoam Rotemによれば、英国に本社を置くResource Data Management社によって製造された、7000台を超える脆弱な温度制御システムが、インターネットからアクセス可能であり、同社のウェブサイトのドキュメントに記載されたデフォルトのパスワードを入力することによって操作可能になっている。
これらの脆弱なユニットの多くは、英国、アイルランド、さらにはスウェーデン、ドイツ、中国などのレストラン、病院、スーパーマーケット、食料品店の業務用冷凍庫に搭載されていた。研究者たちはまた、マレーシアの製薬会社やドイツの冷却施設にも同ユニットを発見している。
こうした冷凍庫に解凍指示が出された場合には、予想できないほどの水害、経済的損失、そして在庫の破壊につながる可能性がある。高付加価値産業の場合には、その損失は膨大なものになる可能性がある。
香港のMarks & Spencerに置かれた業務用冷凍庫の、ウェブインターフェース(画像:TechCrunch)
「これらのシステムには、どのようなブラウザからでもアクセスすることができます」とRotemは記事中で述べている(この情報は彼が一般公開する前に、TechCrunchに伝えられた)。「必要なのは正確なURLだけです。私たちのテストが示しているように、それを見つけるのはそれほど難しくありません」。
Rotemによると、マシンを解凍するには単に「ボタンをクリックしてデフォルトのユーザー名とパスワードを入力する」だけであり、それらは同社のデバイス上でほぼ共通なものであるという。TechCrunchはShodanを使うことで、研究者が言う通り数百の冷凍庫を発見した(Shodanは一般アクセスが可能なデバイスやデーターベースを見つけることができる検索エンジンである)、しかしアカウントとパスワードを使ってアクセスすること自体は適法ではない可能性が高いため、実際のアクセスは行っていない。
Rotemによれば、公開されているデバイスの、ユーザー設定、アラーム、その他の機能を変更することも可能だという。
Resource Data Managementの担当者は、電子メールで以下のように回答している「システムのインストール時には、デフォルトのパスワードを変更する必要があることを文書で明示しています」。しかしながら、その変更は必須のものではない。Rotemによれば、デバイス所有者の多くはそれを変更していない。同社はまた、自身によるセキュリティの啓蒙にも熱心ではなかった。「私たちには、システムが設置者の方々によって、どのように設定されるかについて制御する手段がありません。この記事が私たちの機器の利用者や設置者の方々の目にとまって欲しいですね」と担当者は語る。「私たちは、新しい機能や特性を備えた新しいソフトウェアを入手できることを、オーナーの方々にお知らせはしますが、最終的にアップグレードを行うのはオーナーの皆さま自身です」。
同社は把握済の全ての顧客に対しては「デフォルトのユーザー名とパスワードを変更することの重要性を喚起する予定だ」と述べている。
なお来年以降、カリフォルニア州では、個々のデバイスに対して固有に設定されていない、弱いもしくはデフォルトのパスワードを使ったインターネット接続機器は、製造も販売も禁止される。
[原文へ]
(翻訳:sako)