Kaspersky Lab、ガソリンスタンドの管理システムに脆弱性を発見

[本リリースは、2018年2月7日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのリサーチャーは、世界中のガソリンスタンドで利用されている管理システムに、複数の脆弱性を発見しました。これらのシステムは現在、世界中で1,000か所以上に設置され、オンライン状態にあります。当社はこの脆弱性を確認した時点で、システムの製造元に通知しています。また、CVE（共通脆弱性識別子）を管理する米国の非営利団体MITREにも報告し、現在も調査を継続しています。このシステムの主な地理的分布は、インド（29.1%）、アメリカ（27.2%）、スペイン（9.7%）、チリ（9.7%）、トルコ（8.7%）、イスラエル（6.8%）です。

Kaspersky Labグローバル調査分析チーム（GReAT）^※ のシニアセキュリティリサーチャー、イドー・ナール（Ido Naor）は、外部のリサーチャーと共にインターネットにオープンに接続している機器を調査している中で、この管理システムを発見しました。ほぼ10年前にガソリンスタンドに設置されたとみられるこの管理システムは、それ以降インターネットに接続したままの状態になっています。

この管理システムは、Linuxを搭載した組込み機器で動作しています。リサーチャーらは調査の過程で、この機器に接続されているデバイスやシステムをサイバー攻撃にさらす危険性がある複数の脆弱性を発見しました。実際に、リサーチャーは管理システムからガソリンスタンドで利用される多くのデバイスのシステム設定をモニタリングし、設定を変更することができました。

サイバー攻撃者が不正に管理システムへのログインを回避し、メイン画面へのアクセス権を取得した場合、以下の操作が実行可能となります。

• すべての給油システムを停止する
• 燃料価格を変更する
• 燃料漏れを発生させる
• 決済端末を利用せずに金銭を窃取する（決済端末がこの組み込み機器に接続しており、決済取引を乗っ取ることが可能）
• 自動車のナンバープレートやドライバーのID情報を取得する
• 制御装置ユニット上でさまざまなコードを実行する
• ガソリンスタンドのネットワーク内を意のままに移動する

イドー・ナールは次のように述べています。「コネクテッドデバイスに関しては、新しい製品に目が行き、過去に設置されたものについては忘れられがちですが、そのような古い製品によって企業が広範に攻撃にさらされる可能性があります。ガソリンスタンドに対する妨害行為による損害は、考えるだけでも恐ろしいものです。Kaspersky Labは、この調査結果を製造元と共有しています」

これまでもKaspersky Labは、IoTコネクテッドデバイスの製造元に対し、開発と設計の開始時点から製品のセキュリティについて検討すること、旧式のデバイスにセキュリティ脆弱性が潜む可能性がないかを確認することを推奨しています。コネクテッドデバイスのユーザーは、そのセキュリティを定期的に確認する必要があります。また、工場出荷時の設定をそのまま使用するべきではありません。

・詳細はSecurelistブログ（英語）「Gas is too expensive? Let's make it cheap!」をご覧ください。

※ Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。