これが「海のペンテスト」の成果、海運テクノロジー企業のセキュリティ対策は超ピンキリ(The Register) | ScanNetSecurity
2024.04.16(火)

これが「海のペンテスト」の成果、海運テクノロジー企業のセキュリティ対策は超ピンキリ(The Register)

説明にあたってハーン氏は「悲惨な」「劣悪な」という語を多用した。ハーン氏のチームは、深海探査艇、掘削リグ、完成したばかりのクルーズ船、パナマックス(パナマ運河対応)のコンテナ船、その他いくつかの船舶を含めて、幅広い調査を行ったという。

国際 TheRegister
船内のデフォルトのパスワード。 写真:ペンテストパートナーズ
船内のデフォルトのパスワード。 写真:ペンテストパートナーズ 全 1 枚 拡大写真
 ペネトレーションテスト(侵入テスト)の専門企業が海運業者や石油掘削企業を対象に調査を行ったところ、セキュリティホールや脆弱性が大量に見つかった。石油リグの制御を完全に乗っ取ってしまえるという、恐ろしいものも含まれていた。

 ペンテストパートナーズ( PTP )は情報セキュリティを専門とするコンサルタント集団だ。社名が物語るとおり、ペネトレーションテストを主要業務としている。同社が見たところ、海洋関連業界では、海上でも情報セキュリティに注意することが重要だと認識している企業が全般的に少ない。PTP はこの 1 年「海のペンテスト」に力を入れてきた。いろいろある中で最も「派手な成果」は、石油探索に使う深海掘削リグを「完全に乗っ取れる」と分かったことだという。

 PTP のケン・マンロー氏は The Register 誌がそれはどういうことかと(分かりきってはいたが)聞き返したところ、「エンジン停止、スラスター(自動船位保持装置)起動、舵の角度変更、航路情報の攪乱、システムフリーズ、何でもいいからスイッチオフ、ありとあらゆることです」と答えた。

《The Register》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  6. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

  7. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  8. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

    チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  9. マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

    マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

  10. 日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

    日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

ランキングをもっと見る