電源ユニットに偽装した小箱でネットワークがハッキングされる

日常生活でインターネットをしていてハッキングされるなんてことには滅多に出会いませんが、家の内部に攻撃者を招き入れるためのスパイが潜んでいたとしたらこれは大変なことです。海外には、まるで電源プラグやACアダプタみたいな顔をしてネットワークをハッキングしてくる機器があるそうです。

The Little White Box That Can Hack Your Network | Wired Enterprise | Wired.com

Pwnie Express :: Wired, wireless, and 3G pentesting dropboxes

昨年5月、Jayson E.Streetという男が銀行の支店を尋ねました。まるで専門家であるかのような服を着たこの男は、電源の安定化についての話をして、ACアダプタのような白い小さな箱状のものをコンセントに取り付けていきました。西海岸にある10の支店で行われたこの作業は、もちろんウソでした。銀行員たちはあまりにも協力的すぎました。Streetが金銭出納係の近くや、地下室へ行くことを許し、支店長自ら、自分の背後にその装置を取りつけやすいようにとイスをどかしました。このとき、Streetが取り付けていたのは「Pwn Plug」という機器。Pwnはハッカー用語で「take control of(コントロールを得る)」という意味合いで用いられます。4つの支店でセキュリティが突破されてから、この銀行は「今すぐやめてくれ、降参だ」と白旗を揚げました。

Streetが取り付けていったものの実例はこんな感じ。どこがおかしいのか分かりづらいですが、白いACアダプタみたいなものが問題の機器です。

Streetがやったことは、安全対策の専門家が問題点を探るためにやるのと同じことでした。Pwnie Expressというスタートアップ企業が作った「Pwn Plug」の中には小さなコンピューターが内蔵されており、ハッキングツールがプリインストールされています。これによってネットワーク内に侵入し、リモートでネットワークへアクセスすることが可能になります。機器には人々が疑いを持たないよう、「fressh」の文字(freshとSSHをかけたもの？)と、新芽のようなデザインが施されており、空気清浄機であるかのように偽られていました。ベーシックモデルは480ドル(約3万9000円)で、730ドル(約5万9500円)で買えるエリートモデルであればモバイルネットワークにも接続が可能です。

「この製品の面白いところは電源プラグっぽいところと、Pwnするところにあります」と語るのは、Pwnie ExpressのCEO、Dave Porcello氏。「どこかの建物に入ってPwn Plugをコンセントに差し込み、テキストメッセージが届くまで待ってみてください。あなたが駐車場まで戻る間に、Pwn Plugは動作を開始することがわかるはずです」

もともとPwn Plugは、Globalscale Technologiesが作った電源プラグのような形をした小型Linuxマシン「SheevaPlugs」を見たときに思いついたもの。今や、バンク・オブ・アメリカも地方支店のネットワークセキュリティを確かめるために、Pwn Plugを郵送してコンセントに差し込ませているそうです。別のISPでは、ネットワークのトラブルシューティングで使うために、リモート接続用として使用しているそうです。「Pwn Plugを使えば、企業は経費を節減できます」とPorcello氏。「大規模なチェーン店は何千もの店舗を展開していて、それぞれの店舗が1つのネットワークを形成しています。しかし、それらのお店のセキュリティを抜き打ち検査するためにわざわざ飛行機で行くのはあまりにムダです」

Porcello氏がPwn Plugを作り始めたのは、まだ保険会社に勤めていた2010年のこと。しかし、Pwn Plugは、彼が保険会社をあっさり辞めても大丈夫なぐらいの勢いで売れていったそうです。