パスワードを忘れた? アカウント作成
13942805 story
NASA

NASA、誰かが無許可でネットワーク内に設置したRaspberry Pi経由で不正アクセスを受けデータ流出 28

ストーリー by hylom
これは恐ろしい 部門より

NASAのジェット推進研究所(JPL)で、ネットワーク内に無許可で設置されていたRaspberry Pi端末を経由した外部からの不正アクセスがあり、それによってJPL内の多数のデータにアクセスされるという事件が発生していたことが明らかになった(ITmedia)。

この端末は2018年4月に接続されたもので、使用目的やその設置者は不明だという。

JPLのネットワークではネットワーク内に接続する端末をデータベースに登録して管理するルールだったが、問題の端末は登録が行われていなかったという。また、それ以外にもNASAのシステムではセキュリティ的な問題が多数存在しているとも指摘されているそうだ。

NASAに対しては、昨年サイバー犯罪集団による攻撃のターゲットになっているとの報道があった(CNET Japan)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Artane. (1042) on 2019年06月25日 17時46分 (#3640119) 日記

    Stuxnet [wired.jp]の時には、USBメモリを使って、閉鎖されたネットワークの内側のマシンをマルウェアに感染させて機械を壊したりデータを抜き取って外のネットワークに流したりしてましたが、
    とうとう、そこまでしなくても防火壁の内側に入るのが出始めたんですね。
    これがラズパイだからまだしも、もっと小さなボードコンピュータ [buildinsider.net]だったりしたら、見つけるのも難儀でしょうね。下手すると、適当な部屋に潜んで、無線LANなどを通じて内側や外側と通信し、電灯の光で発電して蓄電した電力で内部を荒らしてデータを盗み取るくらい出来てしまうし、そうなると簡単には見つからないでしょうから。

    • データを右から左へ流すだけならフリスクケース未満サイズでいけるからなぁ。
      20年前とかマイクロマウスやってた頃はフットプリントが名刺カードサイズより少し大きいぐらいのZ80互換マイコンで十分すごかったのだけれども。
      その頃のUV-EPROMサイズで今はフラッシュROMまで付いたマイコンが…

      親コメント
      • by Anonymous Coward on 2019年06月25日 18時50分 (#3640165)

        ワンチップで無線LANまで入っているESP32もフリスクケースに入るかな?
        入りますね
        https://www.mgo-tec.com/blog-entry-frisk-ws-ssd1306-webnews.html [mgo-tec.com]
        接続さえできれば踏み台には十分

        親コメント
        • そいつは先代のESP8266です。ESP32はモジュールでは少し大きくなります。どっちみちスパイは技適なんか気にしないでしょうから、デキャップ/リキャップでもすれば技術的にはヨーロッパタイプのボールペン替芯に仕込むくらいまでは小型化できるんじゃないでしょうか。

          いずれにしろ、Stuxnetの画期的だったのは、USBメモリのハードウェアやファームウェアに依存することなく破壊工作を実行したところじゃないかと思います。あれは汎用のUSBメモリ1本が管理区域内で差し回されて持ち出されればよく、極論すれば持ち込む/持ち出す主体がスパイである必要すらありませんでした。

          親コメント
      • by Anonymous Coward

        その時代別サイズ感に近い流れにいるのは無線などの特殊機能込みのモジュールや、
        ワンチップ化に向かないアーキテクチャのMPU搭載モジュールの話ではないかなぁ……
        既に出てしばらくになるけど、フラッシュ搭載ワンチップマイコンってだけなら米粒AVR(6ピンSOT23)とかもあるし、
        1999年(20年前)以前でも、ホビーユースのマイコンで95年にはPIC流行始まってて、
        99年にはフラッシュメモリ搭載済み。ワンチップマイコンだから小さくまとめるならすでに相当いけてる。
        USBメモリのコントローラだってマルウェアに感染出来る程度には余裕のあるマイコンらしいし。

    • by Anonymous Coward

      「飼い主の分からない猫が数年前から居付いているが皆に人気なので特に問題視してない」

    • by Anonymous Coward

      USBメモリは人任せ、有り体に言えば敵が勝手に嵌まってくれることをひたすら待つような手段だけど
      今回のはスパイが物理的に中に入ったということかな?
      訓練された外部の人間が忍び込んだのか、中の人がスパイに転向したのかはわからないけど
      忍び込まれたのならもう何でもありな気がする

  • by Anonymous Coward on 2019年06月25日 18時25分 (#3640151)

    勝手に取り付けたラズパイにグローバルIPが振られて(取付者が振ったのかは知らないけど)、そこ経由で保護エリアにアクセスが出来る状況だったという事なのでしょうか?

    記事中に『新たに端末を接続する際はセキュリティデータベースに手動で登録することになっている』と書いてありますが、そのセキュリティデータベースとやらは単なるメモみたいなもんで、別に登録してあっても無くても構わないし、そのデータベースに載っていなくても内部にアクセス可能であったと。

    もっと高度な話なのかも知れませんが、イメージが湧きません。どなたか教えてください。

    • by Anonymous Coward on 2019年06月25日 19時19分 (#3640182)

      ネットに転がってるアプリになんか変なもの仕込まれてたんじゃ。スピア型で狙われた可能性も。
      文脈からはRasPiを踏み台にLANに侵入されたように読める。
      外からは無理でも、内側からコネクション張られたらひとたまりもないもんね。
      NASAだったら昔の大学みたいにグローバルアドレス大盤振る舞いしてるのかもしれないけど、
      それだとRasPiはインターネット上にあるマシンと変わらないから、
      それが原因で他の危機に影響が出るというのもなんか違う気がする。

      親コメント
    • by Anonymous Coward

      グローバルIPアドレスというかローカルIPアドレスで良い。
      新たに接続する機器の登録って固定IPの登録表みたいのを人間が管理しているのだろうけど、パケットを監視して、使っていないセグメント内のアドレスを自動的に勝手に振られたら、ネットワークに接続できてしまう。って事だと思う。

      インターネットへのルートがあることと外向けパケットの監視が甘いと装置を設置されただけでこれが起こる。
      あと、ローカルネットワーク内で流れているパケットとかも特に暗号化されてないんじゃないかな?

      • by Anonymous Coward

        arpで登録済機器のMACか確認するアプライアンスありますが、そういうのではないですかね?

        • by Anonymous Coward on 2019年06月25日 19時46分 (#3640215)

          MACアドレスなんていくらでも書き換え可能ですよ

          たとえば日中だけ電源ONで夜間はOFFになるような装置に対して
          arpとかでMACアドレス調べれば
          あとは夜間だけそのMACを自分に振るだけゴニョゴニョできます

          親コメント
          • by Anonymous Coward

            確かにMAC書き換えだけを見破るのは大変だが、OSの起動時など、本来のMACアドレスを使っている瞬間があったり、フィンガープリントやOSの挙動が突然変わったり、接続されている位置が動いたり、MAC以外にもいろいろ個性があるので、なりかわりを検出できないわけではない。ふつうそこまでやらないけど。

        • by Anonymous Coward

          元記事に
          セキュリティデータベースに手動で登録することになっているが、更新機能がうまく動かないことがあり、そのまま登録を忘れることがあると語った
          とあるから、普段から警告が出っぱなしで、誰も気にしてなかったかんじかな

      • by Anonymous Coward

        外部からLANには入り放題なんですかねぇ。

  • by Anonymous Coward on 2019年06月25日 19時11分 (#3640177)

    644とかEVERYONE読み込み可な構築なんすかね
    Webベースにしたって全ページ閲覧フリーなわけないし
    来館一般向け部分にアクセスッテならわかるが
    一体どんなポリシ設けてんだろう

    • by Anonymous Coward

      うちのLAN内は結構ゆるゆるだな。
      アップデートもさぼってたり、ポートもガバガバだったりで脆弱性とか突かれたらヤバい気がする。

      • by Anonymous Coward

        リスク対策は発生確率や被害の大きさとのトレードオフだからね。
        NASAなんていかにも狙われやすそうなんだからもっとしっかりしよろ、と。

  • by Anonymous Coward on 2019年06月25日 21時38分 (#3640271)

    そういうアプリがあればいいのかな。
    でもルータがsyslogなりで吐いてくれれば問題ない?そもそも対応してないといけないか。
    しかもケーブルをミラーリングされてしまうと無理か。
    企業の内側からは、やはり目視の確認しかないかもしれん。
    掃除のおばちゃんにでも教え込むしかないのかなぁ。

    • by Anonymous Coward

      全機材をVPN通らないとサービス使えないようにしときゃいいんじゃねぇの
      lanに外部の機材がつなぎ放題って前提で設計すりゃ多分なんとかなる
      性能?知るかそんなの

    • by Anonymous Coward

      管理者が許可しない端末を弾くならMACアドレス認証使うとか、L2Blockerみたいなアプライアンス使うとか、ソリューションはいくつかある

    • by Anonymous Coward

      エンタープライズ版のセキュリティソフトスイートには、たいていLAN接続機器を検出する機能があるね。
      セグメントを超えられないので、使い勝手はイマイチなのだが。
      LAN接続機器は接続を隠すステルスな仕様になってない限り、しょっちゅうブロードキャスト吐いてるので監視は割と簡単。
      でも勝手に繋いでるの見つけても、場所を特定するのがめんどくさすぎるという罠が。
      本気で締め出したいならRADIUSとかで接続認証しないとだめっぽいね。

    • by Anonymous Coward

      802.1Xでググれ

  • by Anonymous Coward on 2019年06月25日 21時52分 (#3640275)

    データを読み取るために設置したのでしょうね、

  • by Anonymous Coward on 2019年06月26日 2時59分 (#3640393)

    ラズパイで盗んだデータで世紀の大発見をする科学者の映画とかあったらいいのにな

    シュタゲ?ああ、名前ぐらいなら・・

    • by Anonymous Coward

      で、ラズパイ持ってるだけで警察がやってくると

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...