海賊が船会社のサーバーから積荷の情報を取得、船を攻撃して高価な積荷だけを奪う
タレコミ by headless
headless 曰く、
VerizonのRISK Teamが調査を手掛けたサイバーセキュリティー事件の中に、海賊が船会社のサーバーに侵入したというものがあるそうだ(Verizonのリポート: PDF、 Ars Technicaの記事、 The Registerの記事、 Softpediaの記事)。
RISK Teamは国際的な海運コングロマリットから、海賊に過去数か月悩まされているという相談を受けた。外洋での海賊行為は珍しくないが、船を乗っ取って船員を人質に取り、身代金を要求する一般的な海賊とは異なっていたそうだ。海賊は船に乗り込んで船員らを一か所に集めると、バーコードをチェックして高価な積荷を特定し、中身だけを短時間で持ち去っていたという。
RISK Teamが調査を行ったところ、被害者は自社で開発したWebベースのコンテンツマネージメントシステム(CMS)を使用して積荷や伝票を管理していることが判明。海賊はCMSの脆弱性を利用してサーバーにWebシェルをアップロードすることで、積荷やスケジュール、航路などの情報を取得していたとのこと。
しかし、海賊はWebシェルとの通信を暗号化しておらず、RISK Teamはフルパケットキャプチャで攻撃の全容を把握できたという。また、プロキシサーバーも使用していなかったため、海賊が使用するIPアドレスも判明。被害者は侵入を受けたサーバーをいったん停止させて海賊のIPアドレスをブロックし、パスワードの変更やCMSの更新などを行ったとのこと。さらに定期的な脆弱性スキャンなども実行するようになったそうだ。