「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」

arstechnica.com

「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」

www.zdnet.com

オーストラリアの小規模な防衛関連企業に、クラックがあり、中にあった軍事情報が盗まれるという事件がありましたが、これについて続報がシドニーITカンファレンスという場で出ました。

クラックをしたのは、従来からオーストラリアで「APT Alf」と呼ばれていた攻撃者です（ちなみに"Alf"は彼の地で長く続くテレビ番組のキャラクターであり、所ジョージさんが声をあてていた宇宙人ではありません）。

クラックが最初に起きたのは2016年7月のことだとか。発覚は11月です。

クラックの経路ですが、インターネット上に公開されたサーバから侵入し管理者権限を取得、社内ネットワーク内を自由に移動し、各地にWebからアクセス可能な形のシェルの1つ "China Chopper" を配置しました（このシェルは過去に中国人により使われたものの、今回の犯人との関連性は不明です）。

そして、そもそも侵入を許した背景には、侵入された企業でのITシステム管理の軽視があります。

• フルタイムのITシステム管理者は1人
• その1人も勤務9ヶ月目（侵入時点か発覚時点かは不明）
• DMZ領域の設定なし -定期的なパッチ適用はなし
• 全サーバの管理者パスワードは同一
• ネット上に向けて多数のサービスが動作（サービスは極力減らして攻撃対象を限定するのが普通）
• 最初の侵入はヘルプデスクの12ヶ月前の脆弱性経由
• 最初の侵入先がドメイン管理と共通（つまり侵入すればすぐに管理者として色々できる）
• 実はサーバでデフォルトのアカウント＆パスワードが有効（侵入者は使ってない模様。ちなみにadmin:adminとguest:guest）

こういう状況は、他でもたくさんあることと思います。そして誰も気づかないうちに侵入されているということも。