フランスに停泊中のイタリア船籍のフェリーのOS?からマルウェアが見つかったとのこと。
事前にイタリア当局からフランスに対して「対象の船のOSがRATに感染している可能性がある」という警告を受け取っていたらしい。
"identified and neutralised an attempt at intrusion on the company's computer systems, which are effectively protected. It was without consequences."
「同社のコンピューターシステムに対する侵入の試みを特定し、無力化した。システムは効果的に保護されている。影響はなかった。」
一体どうやって検知したのか分からんが、船のシステムを監視する仕組みが既にあるんかなぁ。
船が乗っ取られたらヤバくね
船がどこまでOSと呼べるもので管理されているのか正確に分からないが、乗っ取られたらヤバそうなのは超分かる。
もしも、操舵系が操作できたら超ヤバイだろうし、GPS管理系や火器管制系の一部でも無効化されると大事件になるだろう。
ドラマや映画のように船のシステムを乗っ取って乗客を人質にする何てことが、実は世界のどこかであったりする?
まぁ、そういうのって攻撃者的にはあんまり旨味無いだろうし、結局RATとか仕込んで踏み台にするのが好まれるか?
移動する攻撃拠点として足がつきにくく、様々な場所の港湾という重要な拠点の情報収集や攻撃を現地で行えるというような使い方がされているのではないだろうか。
てかどうやって侵入するだろ
船のシステムにはどうやって侵入するんでしょうね。
船にはWifiがあるので実はネットワーク的に船のシステムとフラットに繋がっていれば侵入できそう。それとも、挿したらマルウェア実行とか何かが起こるUSBを使わせるとか。そんな感じか。
あとは、普通に船のシステムに直で繋がる何らかのインターフェースが、乗客が簡単にアクセスできるようなところにあるって感じか。
今はフェリーとかにWifiがあってインターネットに繋がるので、侵入後でも何らかの方法で通信を確立し続けられるんでしょうね。最近はStarlinkが船や飛行機に広まりつつあるので、ちゃんとしたインターネット接続環境が増えていますな。
侵入後はどうやって検知するのか分からんが、EDRやSOC的なものがあるんだろうか。普通のWindowsOSとかLinuxとか使っている部分は簡単に監視できるだろうが、OT領域はそうはいかないだろう。
船の状態やシステムログ的なものを送信し続ける機構があるので、そういったところから普段と異なる記録が見つかれば攻撃検知となる感じか?
だんだん海洋システム系のセキュリティ界隈も盛り上がってきたんかな
今年からDEFCON VillagesでMHV(Maritime Hacking Village)が始まっていたし、船のセキュリティも盛り上がってくると考えていた。
なので「早く参加しておけば船セキュリティで第一線で戦えるのでは」と思い、現地DEFCONで参加してみた。でも、あんまり個人的に合わなかったですね。
重要な技術体系があんまり公開されていなさそうで、頑張って勉強しようにもオープンではないコミュニティや伝手がなければスキルを高められなさそうなので一旦諦めの気持ちになっている。
ただし、気持ち高ぶった勢いでMHV Tシャツとか、NMEA2000/NMEA0183等の船系のプロトコルを扱えるMHV Badgeとか買ったので気が向いたら取り組んでいく気持ちはあります。
MHVのCTFは、知らんインターフェースを介した海洋系の管理システムへの侵入とか訳分からん問題があったが、Wifiパスワードクラックしてコンテナシステム侵入とか分かりやすいものもあった。
MHVでは別に船だけではなく海洋系システム全体のセキュリティの話をしていて、港湾の船管理システム、コンテナ管理システム、クレーン、GPSなど様々な話題があった。
CODEBLUEにもMHVが来たので行ってみたが、CODEBLUEのときはスペースが小さく、個人的に楽しめなかった。DEFCONと比べてしまうのは違うと思うがスケールは比べ物にならない。
