豪州でF-35を含んだ軍事情報が盗まれた件について
「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」
「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」
オーストラリアの小規模な防衛関連企業に、クラックがあり、中にあった軍事情報が盗まれるという事件がありましたが、これについて続報がシドニーITカンファレンスという場で出ました。
クラックをしたのは、従来からオーストラリアで「APT Alf」と呼ばれていた攻撃者です(ちなみに"Alf"は彼の地で長く続くテレビ番組のキャラクターであり、所ジョージさんが声をあてていた宇宙人ではありません)。
クラックが最初に起きたのは2016年7月のことだとか。発覚は11月です。
クラックの経路ですが、インターネット上に公開されたサーバから侵入し管理者権限を取得、社内ネットワーク内を自由に移動し、各地にWebからアクセス可能な形のシェルの1つ "China Chopper" を配置しました(このシェルは過去に中国人により使われたものの、今回の犯人との関連性は不明です)。
そして、そもそも侵入を許した背景には、侵入された企業でのITシステム管理の軽視があります。
- フルタイムのITシステム管理者は1人
- その1人も勤務9ヶ月目(侵入時点か発覚時点かは不明)
- DMZ領域の設定なし -定期的なパッチ適用はなし
- 全サーバの管理者パスワードは同一
- ネット上に向けて多数のサービスが動作(サービスは極力減らして攻撃対象を限定するのが普通)
- 最初の侵入はヘルプデスクの12ヶ月前の脆弱性経由
- 最初の侵入先がドメイン管理と共通(つまり侵入すればすぐに管理者として色々できる)
- 実はサーバでデフォルトのアカウント&パスワードが有効(侵入者は使ってない模様。ちなみにadmin:adminとguest:guest)
こういう状況は、他でもたくさんあることと思います。そして誰も気づかないうちに侵入されているということも。