すべての産業でデジタル化が加速する中、海洋・船舶産業にも様々なICT技術が適用され、自動化・デジタル化が進んでいます。このような船舶技術の発展とともに、船舶におけるサイバー攻撃の懸念も高まっています。
特に、インターネットや衛星通信などのネットワークを通じて接続されている海洋・船舶システムは、様々な脆弱性からサイバー上の攻撃対象領域に公開される恐れがあり、サイバーセキュリティ業界でも重要なアジェンダとして挙げられています。
船舶ハッキングは、攻撃者が船舶に直接アクセスしてくる攻撃より、脆弱性を持つままインターネットに公開された船舶システムを攻撃のターゲットにする方が多いです。それでは、現在どれほど多くの船舶システムと機器がインターネットに繋がって、ハッキングの脅威にさらされているかを確かめます。
インターネットに公開され、船舶ハッキングの脅威にさらされている機器の統計
サイバー脅威インテリジェンス検索エンジンのCriminal IPを利用すると、インターネットに繋がっている世界中の船舶関連システムを見つけられます。
IT資産検索でtag: フィルターを利用し、Shipsタグを検索します。tagフィルターは、特定の分野やカテゴリーに関連するサイバー脅威を検索できるフィルターです。その中、Shipsタグは海上無線通信機器および情報システムなど船舶の航海に必要なインフラを見つけられるタグです。
次の検索結果は2023年12月3日から2024年1月3日まで、1ヶ月間Criminal IPの脅威インテリジェンスに収集された結果です。インターネットに公開されていた船舶関連の機器であり、合計1,627のパブリックIPアドレスで船舶に関連する機器が発見されました。
1,627のIPアドレスに接続された船舶機器がすべて深刻な脆弱性を持っているわけではありませんが、ある船舶システムは公開されるだけでも深刻なセキュリティ欠陥になりかねません。
次は、実際にCriminal IPのShipsタグの検索結果で見つけたケースです。
船舶と通信衛生を繋ぐ機器の公開、VSAT(Very Small Aperture Terminal)
VSATとは、船舶の衛星通信のための機器です。船舶に接続する衛星機器は、ハッキングに最も脆弱であり、ハッキングによるあらゆる被害が発生する可能性があるのでセキュリティに注意を払う必要です。
よって、船舶と衛星を接続させる機器もやはり外部に公開されるたけで攻撃対象領域として見られます。
次は、Criminal IPのShipsタグに検知されたある船舶システムのIPアドレスの脅威レポートです。
IPアドレスの脅威スコアは、インバウンドスコアが99%のCritical、アウトバウンドスコアが60%で確認され、合計3つの深刻な脆弱性を持っていることが確認されました。
80、443の2つのポートで「SAILOR 900 VSAT High Power」というタイトルのWebサーバーが確認され、すべてのポートで脆弱性が発見されました。
CVE-2022-22707、CVE-2019-11072、CVE-2018-19052の3つの脆弱性が発見され、その上CVE-2018-19052の脆弱性はGitHubにエクスプロイトのPoCが公開されている状態です。
「SAILOR 900 VSAT」は、船舶の衛星通信に関する様々なソリューションを提供する企業である「COBHAM」の人気製品であり、このIPアドレスの80、443ポートにアクセスすると、下のイメージのように、実際に運営されているCOBHAM社のSAILOR 900 VSATのWebインターフェースにアクセスできます。
万が一、ハッカーがこのサーバーにアクセスし、脆弱性を見つけ出し、公開されたPoCを利用してエクスプロイトを試みると、このシステムだけでなく、船舶の衛星ネットワークと繋がった別のシステムもハッキングされる可能性があります。
システムのWebダッシュボードでは、船舶の位置情報から使用中の機器のモデル名、バージョン情報が丸出しに表示されます。
また別のメニューでは衛星のネットワークの接続設定などの機能も提供しているのでハッカーが侵入し、管理者の権限を得られる場合、大きなセキュリティインシデントに繋がる可能性があります。
攻撃対象領域に公開された船舶システムを保有する国の統計
Criminal IPで検知された船舶関連の脅威インテリジェンスの統計を確認すると、攻撃対象領域に公開された船舶システムを保有する国の統計が分かります。
確認の結果、脅威にさらされた船舶システムを保有する国は合計38国です。シスコのIOS XE Web UIの機器を利用していると見られます。その中、アメリカが367個で最も多く、ノルウェーが128個、中国が117個でそのあとを継ぎました。日本は7位で、合計85個の脆弱な船舶システムを保有していることが確認されました。
船舶ハッキングにおけるセキュリティのために必要な攻撃対象領域管理
船舶の衛星システムのほか、船舶ハッキングの主なターゲットになりうるデジタルシステムと機器はたくさんあります。例えば、船舶とターミナルをモニタリングする中央集中管理システムや軍・国家機関の船舶システムはハッキングされる場合、国家的な脅威にまで大事になる可能性があります。
船舶ハッキングは、情報漏れ、サイバーテロ、ランサムウェア、直接な海上安全事故などの被害を及ぼす可能性があります。国際機構と造船事業など、各機関と企業が進んで船舶のサイバーセキュリティに対する規制と技術を発展させていますが、優れたセキュリティシステムと徹底的な規制管理より重要なのはシステム運営者とセキュリティ担当者の攻撃対象領域管理です。
次の点検事項を参考にし、検索エンジンまたは、ソリューション型の攻撃対象領域管理ソリューションを利用して攻撃が発生する前に事前措置を取ることが大事で、それは船舶ハッキングだけでなく、すべてのインターネット接続機器およびアプリケーションにも該当する話です。
- パブリックネットワークに接続され、外部公開された機器を点検して攻撃対象領域を減らす
- パブリックネットワークに接続するシステムである場合、権限およびセキュリティ設定を徹底的に点検する
- デファクトスタンダード(Default Password)で設定された船舶機器およびシステムの管理者アカウント・パスワードを変更する
- すべての機器およびシステムを最新セキュリティのアップデートのバージョンに維持する
関連してはリモートコード実行の脆弱性にさらされているApache Struts 2に関する記事をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
