-
2021年8月に開催された開発者会議「DEF CON 29」で世界最大の農業機械メーカー
「Deere & Company」のサービスが不正アクセスに対して
脆弱(ぜいじゃく)であることが示されました。セキュリティ企業のカスペルスキーが
この不正アクセスの手法や影響の大きさについて解説しています。
https://gigazine.net/news/20211013-farm-equipment-security/ -
Farm equipment security at DEF CON 29 | Kaspersky official blog
https://www.kaspersky.com/blog/hacking-agriculture-defcon29/42402/Leaky John Deere API's: Serious Food Supply Chain Vulnerabilities Discovered by Sick Codes
https://sick.codes/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade/Deere & Companyへの不正アクセスの手法を発表したのは
ホワイトハッカー集団「Sick.Codes」の一員であるケビン・ケニー氏です。ケニー氏は当初Deere & Companyの展開するサービスの開発者アカウントを取得して
不正アクセスに関する検証を行う予定だったとのこと。しかし、ケニー氏は作成したアカウントのユーザー名を失念してしまいます。
そこで、ケニー氏がアカウント作成画面に思い当たるユーザー名を複数入力してみたところ、
複雑な認証は求められず何度も「既にユーザー名が使われているか否か」を確認することができたとのこと。このことからケニー氏は
「Deere & Companyのアカウント作成ページでは無制限にユーザー名の検索ができる」と考えました。ケニー氏は仮説を検証するべくDeere & Companyのアカウント作成APIを解析しました。
その結果、ユーザー名を検索するAPIを連続で実行するスクリプトの作成に成功。そのスクリプトを用いて
「Deere & Companyのアカウントを所持している可能性が高い企業」
1000社の企業名を検索したところ、
約2分で1000社のうち192社の社名が「ユーザー名として使われている」という結果を得ることができました。
-
一般的に、
アカウント作成システムには上記のような総当たり検索を防ぐための仕組みが導入されます。しかし、Deere & Companyにはそのような仕組みが存在していません。
加えてケニー氏が上記の問題についてDeere & Companyに報告しようとしたところ、
脆弱性報告プロセスが明確ではなく、担当者と何度もやり取りする羽目になったそうです。ケニー氏は一連のやり取りも含め、
Deere & Companyのセキュリティ対策が脆弱であると指摘しているわけ。
カスペルスキーによると、
近年開発されている農業機器では様々な部分が遠隔操作できるように作られているとのこと。そのため、農業機械やシステムがハッキングされてしまうと
「化学肥料の散布量を通常の数百倍に設定して、土壌を数年間使用不能にする」
「コンバインを遠隔操作して、電線を切断する」
「機器を使用不能にして収穫プロセスを中断させる」
といった攻撃が可能となります。このような攻撃は農業機械の所有者に損害を与えるだけでなく、
国家規模の食糧危機につながる恐れもあるとして、カスペルスキーは警鐘を鳴らしています。(記事はここまで)
-
グエンさんに放置された機械を使ってた野生の野菜や果物を収穫される可能性もあるな
-
自分ちならともかくドローンで他人の畑に農薬散布とか洒落にならんわ
-
勝手に育ててくれるなんてホワイトハッカーって奴か?
-
作物破壊とかできるもんなあ
-
ええやん
-
肥料の散布量増やすやつやベーな
-
永田農法からすると一大事だな
-
うちの畑の草刈りもやってくれ
-
攻殻みたいに燃料補給まで自動で出来るようになってからが本番
-
収穫までやってくれるのかな
-
前もこのネタあったな
ハッキングされて勝手に食器を洗われてしまう食洗機だっけ -
勝手に耕されたくなければビットコインを送れ
-
二番煎じでおもしろさもダウンしてるからお前はダメなんだ
-
人にコエをかけるのは勘弁な🤢🤮
-
大型機械だし暴走テロに使われたら怖くない?
まあ農機の自動運転なんて北海道でしかやってないけど -
食洗機のスレは偉大だったな
-
スプリンクラーに除草剤混ぜたりするのか
-
インターステラーごっこやろうぜ
-
朝起きたら自分の車が肥料だらけになってたりするのか
-
畑が!耕されてしまったのですが!!
-
収穫直前に耕して畑の肥やしにするのか
-
朝起きたら自宅の庭が畑に早変わり
-
こういう機械って制御装置はスマホはめるくらいで十分じゃないか?
鍵=制御装置=スマホ -
実家が農家だけど自動運転の農機具の展示会に行って値段を見たら高すぎてびっくりした
まじで田舎なら家が買えるレベル -
空調とかなら入った事あるよ
-
勝手にスプリンクラーを操作されて
使い物にならなくなるテロはありそう -
トラクターが襲ってくる!!
-
イントラネットで完結しないんか
遠隔操作が可能な農業機械のハッキング対策が大変に脆弱であるとの指摘。システムを乗っ取られ勝手に畑を耕されたり肥料を撒かれる可能性
嫌儲
コメント一覧