緊急警報システムに遠隔で全機能をハック可能な脆弱性が発覚

by Alan Levine

テレビ局やラジオ局で緊急警報を流すために使われているシステムに、インターネット経由で乗っ取りが可能という脆弱性が見つかりました。最悪の場合、第三者がリモートでログインしてシステムの全機能を使用することが可能なため、専門家はファームウェアのアップデートだけではなく、警報システム自体の抜本的な見直しが必要になってくると指摘しています。

This Is Not a Test: Emergency Broadcast Systems Proved Hackable | Threat Level | Wired.com
http://www.wired.com/threatlevel/2013/07/eas-holes/

We interrupt this program to warn the Emergency Alert System is hackable | Ars Technica
http://arstechnica.com/security/2013/07/we-interrupt-this-program-to-warn-the-emergency-alert-system-is-hackable/

Emergency broadcast equipment in US vulnerable to hackers | PCWorld
http://www.pcworld.com/article/2043880/emergency-broadcast-equipment-in-us-vulnerable-to-hackers.html

脆弱性が指摘されているのは、テレビやラジオの放送中に非常事態が発生したとき放送に割り込む形で緊急警報を流すシステムで、Digital Alert SystemsのDASDECシリーズと、Monroe ElectronicsのR189 One-Net。

機器の外観はこんな感じ。

脆弱性としては、予測可能なセッションIDやパスワードが生成されたり、設定情報がログに出力されたりするといった複数のものが報告されていて、さらに、ファームウェア内に管理者がルート権限でアクセスするときに使うデフォルトのSSH秘密鍵が含まれてしまっているため、古いファームウェアの機器をデフォルト設定で使っていた場合、第三者がルート権限でログインして全機能を使うこともできる状態となっています。

なお、2013年2月には今回脆弱性が指摘された緊急警報システムを使って「ゾンビが発生して人を襲っている」というニセの緊急放送が流されたことがありますが、この脆弱性が悪用されたものなのかどうなのかは、US-CERTは明らかにしていません。

その時の映像がこれ。

TV Station's Emergency Alert System Hacked, Warns of Montana Zombie Apocalypse - YouTube


出演者は警報のことを知らないので特にリアクションもなく番組が進んでいますが、番組音声に重なるように不気味な警報音と「ゾンビが大量発生して非常に危険です」というナレーションが入り、画面上部にはその警報の対象地区が表示されています。

上記映像はモンタナ州のテレビ局のものですが、他にミシガン州、カリフォルニア州、テネシー州、ニューメキシコ州でも機器のハッキングが確認されたとのこと。

今回指摘された脆弱性は、ネットの危機対応を行っている対策組織・ICS-CERTとUS-CERTによって2週間前に公表されたもので、ファームウェアを2.0-2よりも新しいものに更新すれば対策可能。セキュリティ会社IOActiveの研究者マイク・デイビス氏は、ファームウェアを更新するのは当然ながら、それに加えてシステムの抜本的な見直しが必要なのではないかと指摘しています。

「ゾンビ襲来」であれば「悪質な冗談か、イタズラだろう」と判断がつきますが、これが「某国が核ミサイルを我が国に向けて発射」だと、シャレでは済みません……。