我思う故に我あり

日常で感じたこと、考えたことを綴ります。

中国製GPSの危険な脆弱性!!

ユーザーが変更しないデフォルトのパスワードが付属しているなんて。また、インターネット上で機器を制御するために使用するウェブサーバーのソフトウェアにセキュリティ上の弱点があるなんて。

 

この国においては、なんでもありの気がしますので。。。。電気機器は全て中国製排除です!!はい!!

 

 

VOAで英語を学びましょう!!

 

 

中国製GPSバイスサイバー攻撃のリスクがあると研究者が指摘(和訳)

Researchers Say Chinese-made GPS Device Presents Cyberattack Risks

July 23, 2022

learningenglish.voanews.com

 

セキュリティ専門家によると、人気のある中国製自動車追跡装置には、サイバー攻撃の深刻なリスクがあるとのことです。

 

サイバー攻撃とは、コンピューター・ネットワークに対する攻撃、またはコンピューター・ネットワークを介した攻撃のことです。

 

シェンチェン(深セン)に本社を置くMiCODUS社が製造するこの装置は、車を盗難から守るために世界中の人々に使用されています。

 

米国に拠点を置くサイバーセキュリティ企業BitSight社の報告書は、このシステムに深刻なソフトウェアのvulnerability脆弱性があることを警告しています。

 

この問題(脆弱性)により、攻撃者は追跡装置を使って遠隔操作で車両を乗っ取ることができるようになるとセキュリティ研究者は言います。このため、攻撃者は走行中に燃料を断ったり、車両の制御を奪ったりすることが可能になると、BitSight社は報告書で述べています。

 

MV720デバイスの価格は25ドル以下だとBitSight社は言います。研究者は最近プレスリリースを発表し、このデバイスのユーザーは、脆弱性の修正版が利用可能になるまで使用を中止するよう促しています。

 

BitSight社の報告は、米国政府機関がこのデバイス脆弱性を説明する公式勧告を発表したことを受けて行われたものです。

 

BitSight社はAP通信に対し、9月からMiCODUSの代表者と連絡を取り、確認したセキュリティリスクについて話し合おうとしました。その試みは成功しなかったと言います。BitSight社によると、このデバイスを調査している米機関、サイバーセキュリティおよびインフラセキュリティ局(CISA)は、4月にMiCODUSと連絡を取るための努力に加わったということです。

 

AP通信はこの件に関してMiCODUSに電子メールを送ったが、回答は得られなかったと報じています。

 

CISAは、脆弱性の”積極的な悪用”については知らなかったと声明で述べています。

 

GPSトラッカーは、トラック、スクールバス、軍用車など、車両群を追跡するために世界中で使用されています。また、車両の紛失や盗難を防ぐためのセキュリティの役割も果たしています。

 

多くのデバイスは、車両追跡のデータ収集に加えて、車両やドライバーの行動に関する他の情報を調べる機能も備えています。この情報には、ドライバーの行動や燃料の使用状況などが含まれる可能性があります。多くのデバイスは、車両の燃料やロックシステムなどを制御することができます。

 

BitSightによると、MV720デバイスを使用すると、サイバー攻撃者は走行中の車両の燃料ラインをリモートで切断することができますと言います。また、攻撃者は、スパイ目的で車両の位置をリアルタイムで確認できるかもしれないと、BitSight社の研究員ペドロ・ウンベリノ氏は述べています。

 

BitSight社は、このデバイスの主な脆弱性の1つとして、90%以上のユーザーが変更しないデフォルトのパスワードが付属していることを発見しました。また、インターネット上で機器を制御するために使用するウェブサーバーのソフトウェアにセキュリティ上の弱点があることも発見されました。

 

MiCODUSは、約1200万台のデバイスが42万人の顧客に利用されていると主張している。

 

BitSight 社の調査によると、顧客の中には、大手エネルギー企業や航空宇宙企業、南米や東欧の国軍が含まれていることが判明しました。その他、原子力発電所運営会社や西ヨーロッパの国家法執行機関も含まれていました。BitSight社は、これらの企業名を挙げていません。最も利用者が多かった国は、ブラジル、メキシコ、スペイン、ロシアなどです。

 

リチャード・クラーク氏は、米国の元サイバーセキュリティ最高責任者です。彼はAP通信に対し、このデバイスが”中国政府による悪意のある利用”を目的に設計されたとは考えていないが、その可能性は残されていると述べています。

 

クラーク氏は、中国企業は政府の命令に従うことが法律で義務付けられているため、この脅威は現実的であると述べています。「我々が見つけるであろうこれらのインフラ–中国が悪用する可能性のある–が、そしてユーザーがそれを知らないことがどれだけあるのだろうか ?」とクラーク氏は語りました。

 

 

 

 

 

 

 

Researchers Say Chinese-made GPS Device Presents Cyberattack Risks

In this file photo, the U.S. Homeland Security Department headquarters is shown in northwest Washington DC, on Feb. 25, 2015. (AP Photo/Manuel Balce Ceneta, File)


Security experts say a popular Chinese-made automobile tracking device presents a serious risk of cyberattacks.

A cyberattack is an attack on or through a computer network.

The device, manufactured by Shenzen-based MiCODUS, is used by people worldwide to protect their vehicles from being stolen.

A report by the U.S.-based cybersecurity company BitSight has warned that the system has severe software vulnerabilities.

The issues could permit attackers to remotely hijack vehicles using the tracking device, security researchers said. This could give attackers the ability to cut off fuel or seize control of the vehicle while it is moving, BitSight said in its report.

The MV720 device costs less than $25, BitSight says. The researchers recently issued a press release that urges any users of the device to stop using it until a fix for the vulnerabilities becomes available.

BitSight’s report came as a U.S. government agency issued an official advisory that also described the device’s vulnerabilities.

BitSight told The Associated Press it had tried since September to communicate with representatives of MiCODUS to discuss the security risks it had identified. It said those attempts were not successful. BitSight said the U.S. agency investigating the device, the Cybersecurity and Infrastructure Security Agency (CISA), joined its efforts to communicate with MiCODUS in April.

The Associated Press emailed MiCODUS about the matter, but reported it did not receive an answer.

CISA said in a statement that it did not know about “any active exploitation” of the vulnerabilities.

GPS trackers are used worldwide to follow vehicle groupings, from trucks to school buses to military vehicles. The devices also act as security to prevent vehicles from getting lost or stolen.

In addition to collecting data on vehicle tracking, many devices are also equipped to examine other information about vehicle and driver actions. This information could include driver behavior and fuel usage. Many of the devices are able to control a vehicle's fuel or locking systems and more.

Using the MV720 device, BitSight said, a cyberattacker could remotely cut off the fuel line of a vehicle in motion. An attacker might also be able to see where a vehicle is in real-time for spying purposes, said BitSight researcher Pedro Umbelino.

One of the device’s main vulnerabilities is that it comes with a default password that more than 90 percent of users do not change, BitSight found. It also discovered security weaknesses in software the web server uses to control the devices over the internet.

MiCODUS claims that about 1.5 million of the devices are being used by 420,000 customers.

BitSight said its research found that among the customers were a major energy company and an aerospace company and national militaries in South America and Eastern Europe. Others included a nuclear power plant operator and a national law enforcement agency in Western Europe. BitSight did not name any of the companies. Countries with the most users included Brazil, Mexico, Spain and Russia.

Richard Clarke is a former top U.S. cybersecurity official. He told the AP that while he does not believe the device was designed to be “used maliciously by the Chinese government,” that remains a possibility.

Clarke said the threat is real because Chinese companies are required by law to follow their government’s orders. “You just wonder, how often are we going to find these things that are infrastructure – where there’s a potential for Chinese abuse – and the users don’t know?” Clarke said.

 

 

Words in This Story

 

track – v. to record the progress of development of something

vulnerable – adj. able to be hurt or at risk of being harmed

remotely –adv. from a distance away

exploit– v. to use or develop something for your own advantage

default– adj. what usually exists if no changes are made

customer – n. someone who buys goods and services from a business

malicious – adj. meant to harm or upset someone

infrastructure – n. the basic equipment and structures (such as roads and bridges) that are needed for a country or area

potential – n. a possibility when the necessary conditions exist