セキュリティ

学校区を丸ごとハッキングし6つの高校に「釣り動画」を流した元高校生ハッカーが当時の経緯を全公開

by Narisa

2021年4月に、アメリカのイリノイ州にある高校の学校区がハッキングされ、区内の6つの高校にある校内ネットワークに接続されたあらゆる機器から一斉にリック・アストリーのMV「Never Gonna Give You Up」が流される事件が発生しました。このハッキングを行った当時高校生の男性が、史上最大規模のリックロールの一部始終を語っています。

IoT Hacking and Rickrolling My High School District | WhiteHoodHacker
https://whitehoodhacker.net/posts/2021-10-04-the-big-rick

以下は、2021年4月30日にイリノイ州で2番目に大きな高校の学校区であるTownship High School District 214のネットワークがハッキングを受け、区内6校のディスプレイに一斉に同じ映像が流れた際の模様を収めた動画です。

I hacked and rickrolled my entire high school district - YouTube


教室にあるスクリーンには、「重要なお知らせがあります」という案内と、カウントダウンが表示されています。


教室が静寂に包まれる中、カウントダウンがゼロになりました。


次の瞬間、スクリーンに「Never Gonna Give You Up」の映像が流されました。


廊下に出てみると、何事かと困惑した学生らが廊下にあふれていました。


別の教室からも、大音量で「Never Gonna Give You Up」が流れています。


エルクグローブ高校のあちこちで、リック・アストリーの歌声と事態を面白がっている学生の笑い声が響き渡りました。


このハッキングを仕掛けたのは、当時エルクグローブ高校の4年生だったMinh Duong氏。記事作成時点では、イリノイ大学アーバナ・シャンペーン校でコンピューターサイエンスの勉強をしているとのこと。このハッキングでDuong氏は、区内にある6つの高校にあるディスプレイから同じ映像を流すことに成功しました。

事の発端は、Duong氏が高校1年生の時に学校のセキュリティに興味を持ち、友人と一緒に面白半分に学校区ネットワークの全てのIPアドレス範囲のポートをスキャンしたことでした。Duong氏は当時の自分を、「倫理観や責任を理解していないスクリプトキディでした」と振り返っています。

区内にある高校のポートを徹底的にスキャンしたDuong氏は、その中にプリンターやIP電話、パスワードがかかっていない防犯カメラのポートがあるのを発見しました。この問題について報告を受けた学校区の技術チームは、防犯カメラをアクセス制御リストに追加して対応しましたが、依然として多くのデバイスが危険にさらされたままだったとのこと。特に、学校区のIP放送に使われているAvediaServerという管理システムや同じメーカーの受信機にアクセスすると、学校区内に一斉に同じ映像を流すことが可能だという問題が残されていました。


システムに侵入できることを確かめて満足し、そのことを完全に忘れていたDuong氏ですが、4年生になった2021年に卒業記念としてIP放送を使ったいたずらをすることを思いつきました。Duong氏の高校を含む学校区では、それまで新型コロナウイルスのパンデミックの影響で対面授業とリモート授業のハイブリッドで授業が行われていましたが、4月5日からはほとんどの在校生徒が登校することになり、Duong氏はいたずらのしがいがあると感じてハッキングを決意したとのこと。

Discordなどで集めた仲間と、リックロールをもじって「ビック・リック」と名付けた作戦を計画したDuong氏は、4月30日の決行を目指してプロジェクターやテレビモニターなどのシステムを次々と掌握。夜の学校でプロジェクターから任意の映像を流せるかをテストするなどして、準備を進めていきました。

そして、授業を中断しないように授業と授業の合間にあたる4月30日の11時に「ビック・リック」を実行し、教室のプロジェクターからホールのテレビ、昼食のメニューを表示する食堂のモニターまで、校内にあるネットワークに接続されたあらゆるディスプレイから「Never Gonna Give You Up」を流しました。また同日、あらかじめ作成しておいたセキュリティの問題に関するレポートを学校区の技術責任者に送信しました。


「ビック・リック」から数日後、Duong氏の元に学校区の技術責任者から「処罰は行わないことにした」という内容のメールが届きました。それどころか、詳細な調査レポートに対する感謝を述べたとのこと。ただし、許可なくネットワークに侵入したのは不正なハッキングに他ならないため、もし区が理解を示さなければ責任を追及された可能性もあります。

そのためDuong氏は、「214区の管理者が理解を示してくれたことに感謝しています。この記事は教育目的で公開するものです。許可なくネットワークに不正アクセスしないでください」と呼びかけました。

この記事のタイトルとURLをコピーする

・関連記事
世界一有名な釣り動画の「Never Gonna Give You Up」のMVが10億再生を突破 - GIGAZINE

インターネット上で流行る画像や言い回しはどのように生まれ拡散していくのか? - GIGAZINE

15万台のプリンターをハッキングした10代の高校生に匿名インタビュー - GIGAZINE

in 動画,   セキュリティ, Posted by log1l_ks

You can read the machine translated English article here.