2016年4月5日の朝、米国のいくつかのラジオ局で、いつもと違う番組が放送されました。パーソナリティが90分間にわたって、ファーリーファンダム(漫画やSFに登場する擬人化された動物キャラクターを好むこと。ケモノ好き)における性的サブカルチャーについて論じ続けたのです。ラジオ局の人々がリスナーを驚かせようとしたわけではありません。ラジオ局の機器がハッキングされたのです。
この1時間半で、コロラド州とテキサス州の一部住民は、Paradox WolfやFayroeや仲間たちについて、すっかり詳しくなってしまいました。Paradox Wolf、Fayroeなどは、ファーリーファンダム向けWebキャストである「FurCast」の制作者のニックネームです。FurCastを運営するのは、ニューヨーク在住の男性2人と女性1人。一般リスナー向けに放送される番組ではないのですが、ハッカーはお構いなしでした。
ハッキングの経緯
これらラジオ局で流れた番組のうち、少なくとも1つは、デンバーから遠隔地にある4つの送信機へ、インターネット経由で送信されていました。4つのうち1つは、コロラド州ブリッケンリッジにある送信機です。この送信機はK258ASで、ハッキングされていました。ハッカーは、放送予定だった番組を、FurCastのエピソード224とすり替えたのです。放送エンジニアたちは、送信機のコントロールを遠隔操作で取り戻すことができず、デンバーを離れて送信機のある場所まで行き、システムを手作業で再プログラムしなければなりませんでした(英語)。
ハッキングが起きていたとき、FurCastの制作者たちは、ポッドキャストアーカイブへの接続が増えていることに気づきました。接続の増加は、FurCast側がKIFT-FM(コロラド州)とKXAX(テキサス州)での問題に気付いてデータベースへのアクセスを一時的に無効にするまで、数時間続きました。接続の大半は、「Barix製Streaming Client」によるものでした。
Barixは、オーディオストリーミングハードウェアの人気メーカーです。ハッキングされたラジオ局では、同社の機器が使われていました。
Ars Technicaの報道によると、ハッカーは時間をかけてパスワードを集めたようです。Barix製の変換装置は最大24文字のパスワードに対応していますが、「少なくとも2つのケースで6桁のパスワードが破られた」とされています。
こうした送信機の多くは、Shodanによる検索でも見つかりました。ShodanはIoT検索エンジンで、ネット接続しているデバイス(コネクテッドデバイス、ネット接続型デバイス)を探すことができます。
Shodan、そしてCensys。ネットに繋がっているIoTデバイスを検索する検索エンジンです。見つかったIoTデバイスがセキュリティ対策されていなかったとしたら?? https://t.co/LjGO0I1RvC pic.twitter.com/jTkjxywHcQ
— カスペルスキー 公式 (@kaspersky_japan) March 11, 2016
FurCastチームは、ハッキングされたBarix製送信機で使われていたIPアドレスをブロックし、アーカイブを公開し直して、本来のFurCastリスナーたちを喜ばせました。FurCastチームは現在、警察機関と協力してこの事件を調査しています。
このポッドキャストが放送されたのは、ごく一部の小さなラジオ局だけでしたが、今回の事件は大きな騒ぎとなりました。KIFT-FMだけでも、不安を覚えたリスナーから電話やメールで何百件もの問い合わせがあり、再発防止を求められました。
KIFTの番組制作ディレクター、ダン・コーウェン(Dan Cowen)氏は、局員の反応について次のように説明しています(英語記事)。「リスナーの皆様も恐い思いをしたでしょうが、私たちはその何倍もぞっとしました。本当です。スローモーションで自動車事故を見ているようでした。特にお子さんのいるご家庭が、寝起きにこれを聞いたのかと思うと恐ろしいどころではありません。この点を本当に深刻に捉えています」
この事件はすでに、BBCやArs Technica、一部のテレビ局で、ある意味笑い話として紹介されていますが、実際は深刻な事件です。過去に、同様の状況で放送免許を取り消された局もありました。
2013年2月11日、米国の4つのテレビ局で緊急警報システムの機器がハッキングされました(いずれも英語記事)。竜巻や洪水など、自然災害の緊急警報を地元住民に送る機器ですが、犯罪者は緊急警報システムを利用して、ゾンビが墓から出てきて生者の領域を侵略している(明らかにテレビドラマ『ウォーキング・デッド』シリーズを意識しています)と全世界に伝えました。米連邦通信委員会(FCC)は、機器を不正なリモートアクセスから適切に保護していなかったとして、放送局側に責任があるとの判断を下しています。
1987年には、シカゴのテレビ局も悪質行為の被害に遭いましたが(英語記事)、このときは、局側の責任を問われませんでした。というのも、実際のところハッキングではなく、犯人が同じ周波数で放送局よりも強い電波を発生させていただけだからです。
今回のラジオ局は、FurCast事件に関してかなり大きな責任があります。信頼できるパスワードを使い、ファイアウォールによって機器を保護するべきでした。法的な責任を問われるかどうかは、FCCの判断次第です。
私や皆さんにとっては、ネット接続型デバイスがどれだけ危険か、また、なぜ買ったばかりのIPカメラを既定のパスワードのまま使ってはいけないのかを、改めて考えさせられる事件でした。