2018年4月2日

小さなハッキング:無料コーヒー、タクシーの追跡、脆弱な空港

脅威

昨年のWannaCryNotPetyaの攻撃のときのように、大規模で高度なインシデントに悪用されたコンピューターの不具合や脆弱性に関する話は、ネットのニュースでよく取り上げられます。しかし、一番成功しているハッキングやクラッキングは、システムの開発者やシステムを導入した人が犯した、ごく基本的な間違いを突いたものであることを、セキュリティの専門家はよく知っています。

正しく構成されていないシステムは至るところにあります。そのようなシステムがハッカーの目に留まってからその手に落ちるまで、数時間とかかりません。イスラエルのリサーチャーであるインバー・ラズ(Inbar Raz)氏は、Security Analyst Summit 2018で、この悲しい事実を裏付けるさまざまな例を紹介しました。

コーヒーを無料で

多くのコーヒーショップでは、プリペイドカードを導入しています。客はカードを申し込み、あらかじめ現金をチャージしておきます。このカードをコーヒーショップでの支払いに使用すると、購入金額や頻度に応じたボーナスを獲得できる、という仕組みです。コーヒーチェーンのWebサイトに行って自分のカード番号を入力すると、残高を確認することができます。

こういったコーヒーチェーンでプリペイドカードを作ったインバー・ラズ氏は、そのコーヒーチェーンのWebサイトで、利用者がどんな番号でも何度でも好きなだけ入力して確認できるようになっていることに気付きました。そこでラズ氏は小さなプログラムを30分くらいで書きあげ、これを使ってさまざまなカード番号を試してみると、チャージ金額の多いカードを特定できました。

次に、安物のUSBリーダーを使って自分のカードの磁気ストライプを読み取ったところ、書き込まれているカード番号が暗号化されていないことが分かりました。唯一の保護手段は1桁のコントロールビットでしたが、それも簡単に計算できました。カードの磁気ストライプに書き込まれている番号は、先ほどのプログラムで発見したチャージ金額の多いカード番号で簡単に書き換えることができ、他人のお金を使えるようにするのは朝飯前だと判明しました。

これが現実に可能かどうかを検証するにあたり、ラズ氏は倫理的な意味合いから、自分でもう1枚カードを購入してチャージし、そのカード番号を最初に作ったカードに書き込んで試しました。うまくいきました。理論的には、コーヒーショップの店員が鋭い観察眼を発揮してカードに印字されている番号とレシートに印刷された番号を比べれば、詐欺行為を見破れるはずです。しかし実際には、そこまでする店員はほぼいないのではないでしょうか。ということで、基本的に、ハッカーは永久にコーヒーを無料で手に入れられるのです。たぶん、おまけにマフィンの1つくらいも。

Uberスタイルの追跡

しばらく前のことですが、Uberはあるスキャンダル(英語)に見舞われました。従業員が同社のモバイルアプリを乱用して有名人の乗客を追跡していた、と訴えられたのです。

さて、他のタクシーサービスでも同様の行為が可能なことが、しかも、従業員でなくてもできることが判明しました。ラズ氏は、タクシーをオンラインで予約すると予約者の電話番号でタクシーの現在位置を追跡できることを発見しました。無料コーヒーのケースと同じく、ここでも総当たり式に電話番号検索された場合の対策は講じられていません。

ラズ氏は、片端から数字を入力していくちょっとしたプログラムを書き、最終的には、このサービスで最近タクシーを呼んだ人全員の住所を示した便利な地図ができあがりました。

空港は安全(ではない)

標準的な無料Wi-Fiには、ときどき意外なものが隠されていることがあります。インバー・ラズ氏は、東欧のある空港のビジネスラウンジで、空港内にあるアクセスポイントの構成を確認しようと思い立ちました。

ラズ氏は、標準的なWebアドレスでルーターの設定画面が開けることを発見しました。管理者パスワードは要求されませんでした。さらに設定を調べると、それが単なるゲスト用のアクセスポイントではなく、空港のメインルーターであって、きわめて重要な飛行管理システムやセキュリティシステムが接続されていることも明らかになりました。ノートPC、いえ、スマートフォンさえあれば、誰でもこれらのシステムを無効にすることが可能な状態になっていたのです。

以上は、プログラミングやシステム管理を担当する人にとって大きな警鐘です。自分が担当する小さなカフェ(またはタクシー配車サービス、もしくは空港)になんかハッカーは興味がないだろう、と思うのは早計です。標準設定をそのままにしている、「admin」や「12345」のような単純なパスワードをそのまま使っている、プログラムを使った自動式の攻撃に対抗するCAPTCHAのような対策をしていない、などはよくあるセキュリティ上の失敗で、ハッカーにとっては非常にわかりやすい侵入口です。ハッキングの初心者でも悪用可能なほどです。見つけた脆弱性を自分のために利用するのではなく、責任を持って知らせてくれるインバー・ラズ氏のような人は、レア中のレアな存在です。