何事もシンプル・イズ・ベスト...とは限りません。
先日、米国テキサス州の水道施設のシステムが第三者から侵入されました。この攻撃が可能になったのはハッカーが高度なスキルを駆使したからではなく、侵入されたシステムのパスワードの文字数がたったの3文字だったからです。
カスペルスキー・ラボのセキュリティ関連ニュースサイトThreat Postでは、「pr0f」と名乗るハッカーがその攻撃をしたことを認めたと伝えています。pr0fは、テキサス州サウスヒューストンの水道施設で使われているインフラ管理システム「SCADA(supervisory control and data acquisition)」に侵入したのです。
攻撃の際に使われたのは、最先端のテクニックではありませんでした。pr0fは、SCADAにログインするためのパスワードのひとつが長さたった3文字しかないことを発見したのです。3文字しかないなら、クラックするのは簡単です。Threat Postへのメールでpr0fは以下のように記しています。
これが高度で持続的な脅威の話、とかじゃなくてすみません。でも正直、僕が見てきたハッキング被害のほとんどは、こういうとんでもないバカさ加減の結果であって、攻撃側にすごい技術があるとかじゃありません。がっかりさせて悪いんですが。
今回の攻撃による深刻な被害はありませんでした。でも、3文字のパスワードを安全と思っている人が、水道のような重要なインフラを管理していると考えると、恐ろしいですね...。
[Threat Post;Image:marc falardeau]
Jamie Condliffe(原文/miho)
