2021年8月に開催された開発者会議「DEF CON 29」で世界最大の農業機械メーカー「Deere & Company」のサービスが不正アクセスに対して脆弱(ぜいじゃく)であることが示されました。セキュリティ企業のカスペルスキーがこの不正アクセスの手法や影響の大きさについて解説しています。
Farm equipment security at DEF CON 29 | Kaspersky official blog
https://www.kaspersky.com/blog/hacking-agriculture-defcon29/42402/
Leaky John Deere API’s: Serious Food Supply Chain Vulnerabilities Discovered by Sick Codes
https://sick.codes/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade/
Deere & Companyへの不正アクセスの手法を発表したのはホワイトハッカー集団「Sick.Codes」の一員であるケビン・ケニー氏です。ケニー氏は当初Deere & Companyの展開するサービスの開発者アカウントを取得して不正アクセスに関する検証を行う予定だったとのこと。しかし、ケニー氏は作成したアカウントのユーザー名を失念してしまいます。そこで、ケニー氏がアカウント作成画面に思い当たるユーザー名を複数入力してみたところ、複雑な認証は求められず何度も「既にユーザー名が使われているか否か」を確認することができたとのこと。このことからケニー氏は「Deere & Companyのアカウント作成ページでは無制限にユーザー名の検索ができる」と考えました。
ケニー氏は仮説を検証するべくDeere & Companyのアカウント作成APIを解析しました。その結果、ユーザー名を検索するAPIを連続で実行するスクリプトの作成に成功。そのスクリプトを用いて「Deere & Companyのアカウントを所持している可能性が高い企業」1000社の企業名を検索したところ、約2分で1000社のうち192社の社名が「ユーザー名として使われている」という結果を得ることができました。
一般的に、アカウント作成システムには上記のような総当たり検索を防ぐための仕組みが導入されます。しかし、Deere & Companyにはそのような仕組みが存在していません。加えてケニー氏が上記の問題についてDeere & Companyに報告しようとしたところ、脆弱性報告プロセスが明確ではなく、担当者と何度もやり取りする羽目になったそうです。ケニー氏は一連のやり取りも含め、Deere & Companyのセキュリティ対策が脆弱であると指摘しているわけ。
カスペルスキーによると、近年開発されている農業機器では様々な部分が遠隔操作できるように作られているとのこと。そのため、農業機械やシステムがハッキングされてしまうと「化学肥料の散布量を通常の数百倍に設定して、土壌を数年間使用不能にする」「コンバインを遠隔操作して、電線を切断する」「機器を使用不能にして収穫プロセスを中断させる」といった攻撃が可能となります。このような攻撃は農業機械の所有者に損害を与えるだけでなく、国家規模の食糧危機につながる恐れもあるとして、カスペルスキーは警鐘を鳴らしています。
この記事のタイトルとURLをコピーする
・関連記事
農民は自らが所有するトラクターの修理のために「ハッキング」を行わざるを得なくなっている – GIGAZINE
農家がトラクターを管理するソフトウェアをクラック(改造)している理由とは? – GIGAZINE
40年前に製造された中古トラクターの相場が高騰している理由とは? – GIGAZINE
世界最大の食肉業者JBSがランサムウェア攻撃を受けアメリカの全牛肉工場が操業停止、復旧の見通しが立つも影響は甚大 – GIGAZINE
・関連コンテンツ
