Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ロシア鉄道システムへの攻撃

つぶやいてみた。 海外事件

Wifi経由で20分もあれば自分のデータが漏えいする、日本の新幹線などでもFree-Wifiの導入が進んでますが、きちんとセキュリティ設計がされてないと、漏えいリスクがあるサービスを利用しているかも知れない事には警戒すべきかも知れません。

www.ehackingnews.com

 

11月15日金曜日、ポータルHabr.comのユーザーkeklick1337は、ZeroNights情報セキュリティ会議を訪れたサンクトペテルブルクからモスクワに戻りました。プログラマーは退屈しWi-Fiの信頼性をチェックすることに決め、ロシア鉄道の隠されたデータに簡単にアクセスできるようになりました。彼は「どこでも同じパスワード無料のセキュリティ証明書が使用され、データはテキスト文書に保存される」と述べました。

「電車の乗客のデータにアクセスすることは難しくなく、最大で20分かかります」とこの投稿の著者は述べています。

サプサン列車の情報およびエンターテイメントシステムのサーバーは乗客の個人データを保存しません。マルチメディアポータルは情報とエンターテイメントコンテンツを提供します。ロシア鉄道のニュース、映画、書籍、音楽、その他の情報」-ロシアの代表鉄道。

広報担当者によると、システムでの承認のために、ユーザーはドキュメントの最後の4文字のみを入力する必要があります。これは、チケットの購入に使用したもので、鉄道車両と座席番号も同様です。これらのデータは個人的なものではなく、ロシア連邦の現在の法律に従って1日以内にサーバーに保存されます

 

(ehackingnews記事より引用)※機械翻訳

 

◆キタきつねの所感

記事からの率直な印象として、ホワイトハッカーがかなりの所まで権限を奪取できたのだろうなと思いました。Wifi経由と言う所が・・・何となく本当の情報らしく感じます。機械翻訳なのでニュアンスが取りずらいのですが、ホワイトハッカーのコメントには、

 ①共通パスワード

 ②無料の証明書

 ③重要データの平文保管 

3点の脆弱点が提起されている様に思えます。

 

①はロシア鉄道広報が「ドキュメントの最後の4文字のみを入力」とコメントしていますので、この部分を指していそうです。これは例えば、映画を購入したとして、ロシア鉄道側から渡される認証キーが4文字の共通パスワードであった事を指しているのかと思います。

ここを破るのは、いくつか可能性があり、4文字のキーが総当たりでハッキング出来そうであった、あるいは容易に類推できたのか、③と同じで内部ネットワークに侵入したらそれが書かれているファイル(平文)が見つかった・・・というあたりが怪しそうです。

②は無料証明書とあるので、Let's Encrypt辺りを使っていたのかな?と思います。無料でも有料でも暗号強度は変わらないと思いますし、一般的には無料証明書は「フィッシングサイト誘導」などで使われる事が多いので、証明書の通信の先で脆弱点があったか、単に事実として挙げていたのかな?と思います。

③は最悪なパターンですね。おそらく20分でハッキング出来たのは、秘匿にしていた重要ファイルがホワイトハッカーに窃取されたからだと思いますが、せめてファイルを暗号化(パスワード化)しておけば、ここも防げたのに・・と思います。ロシア鉄道広報が「これらのデータは個人的なものではなく、ロシア連邦の現在の法律に従って1日以内にサーバーに保存されます」とコメントしている部分とも合致するのではないかと思いますが、法律での保管義務があったとしても、管理状態が悪かった事については何の免責にもならないかと思います。

 

こうして考えてくると、セキュリティ構築設計に問題があった可能性を強く感じます。あるいはサービスイン前の侵入(脆弱性)テストでしょうか。

 

ホワイトハッカーが暇つぶしに20分で一定以上の成果を出すとしたら、APT攻撃でじっくりと数カ月システムに侵入されたとしたら、

「インフォテインメントシステムサーバーは、ロシア鉄道の内部ネットワークや電車内の他の内部制御サービスに接続されていません。エンターテイメントと情報のトピック専用に設計されており、顧客の機密データを保存しません。」

ロシア鉄道は、列車システムSapsanをハッキングするという事実に関する技術調査を行う予定です。

(ehackingnews記事より引用)※機械翻訳

 

などと悠長な事を言えずに、「内部ネットワーク」や「電車内の他の内部制御サービス」へのラテラルムーブメントが成功していたかも知れません。

ロシア鉄道はこうした(無料の)ハッキングテストを受けて技術調査をする様ですが、日本の鉄道でも、既にそうしたテストは設計対策済である!・・・事を信じたいと思います。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

ホワイトハッカーのイラスト

 
 

更新履歴

  • 2019年11月23日AM(予約投稿)