ユーザーが変更しないデフォルトのパスワードが付属しているなんて。また、インターネット上で機器を制御するために使用するウェブサーバーのソフトウェアにセキュリティ上の弱点があるなんて。
この国においては、なんでもありの気がしますので。。。。電気機器は全て中国製排除です!!はい!!
VOAで英語を学びましょう!!
- 中国製GPSデバイスにサイバー攻撃のリスクがあると研究者が指摘(和訳)
- Researchers Say Chinese-made GPS Device Presents Cyberattack Risks
中国製GPSデバイスにサイバー攻撃のリスクがあると研究者が指摘(和訳)
Researchers Say Chinese-made GPS Device Presents Cyberattack Risks
July 23, 2022
セキュリティ専門家によると、人気のある中国製自動車追跡装置には、サイバー攻撃の深刻なリスクがあるとのことです。
サイバー攻撃とは、コンピューター・ネットワークに対する攻撃、またはコンピューター・ネットワークを介した攻撃のことです。
シェンチェン(深セン)に本社を置くMiCODUS社が製造するこの装置は、車を盗難から守るために世界中の人々に使用されています。
米国に拠点を置くサイバーセキュリティ企業BitSight社の報告書は、このシステムに深刻なソフトウェアのvulnerability脆弱性があることを警告しています。
この問題(脆弱性)により、攻撃者は追跡装置を使って遠隔操作で車両を乗っ取ることができるようになるとセキュリティ研究者は言います。このため、攻撃者は走行中に燃料を断ったり、車両の制御を奪ったりすることが可能になると、BitSight社は報告書で述べています。
MV720デバイスの価格は25ドル以下だとBitSight社は言います。研究者は最近プレスリリースを発表し、このデバイスのユーザーは、脆弱性の修正版が利用可能になるまで使用を中止するよう促しています。
BitSight社の報告は、米国政府機関がこのデバイスの脆弱性を説明する公式勧告を発表したことを受けて行われたものです。
BitSight社はAP通信に対し、9月からMiCODUSの代表者と連絡を取り、確認したセキュリティリスクについて話し合おうとしました。その試みは成功しなかったと言います。BitSight社によると、このデバイスを調査している米機関、サイバーセキュリティおよびインフラセキュリティ局(CISA)は、4月にMiCODUSと連絡を取るための努力に加わったということです。
AP通信はこの件に関してMiCODUSに電子メールを送ったが、回答は得られなかったと報じています。
CISAは、脆弱性の”積極的な悪用”については知らなかったと声明で述べています。
GPSトラッカーは、トラック、スクールバス、軍用車など、車両群を追跡するために世界中で使用されています。また、車両の紛失や盗難を防ぐためのセキュリティの役割も果たしています。
多くのデバイスは、車両追跡のデータ収集に加えて、車両やドライバーの行動に関する他の情報を調べる機能も備えています。この情報には、ドライバーの行動や燃料の使用状況などが含まれる可能性があります。多くのデバイスは、車両の燃料やロックシステムなどを制御することができます。
BitSightによると、MV720デバイスを使用すると、サイバー攻撃者は走行中の車両の燃料ラインをリモートで切断することができますと言います。また、攻撃者は、スパイ目的で車両の位置をリアルタイムで確認できるかもしれないと、BitSight社の研究員ペドロ・ウンベリノ氏は述べています。
BitSight社は、このデバイスの主な脆弱性の1つとして、90%以上のユーザーが変更しないデフォルトのパスワードが付属していることを発見しました。また、インターネット上で機器を制御するために使用するウェブサーバーのソフトウェアにセキュリティ上の弱点があることも発見されました。
MiCODUSは、約1200万台のデバイスが42万人の顧客に利用されていると主張している。
BitSight 社の調査によると、顧客の中には、大手エネルギー企業や航空宇宙企業、南米や東欧の国軍が含まれていることが判明しました。その他、原子力発電所運営会社や西ヨーロッパの国家法執行機関も含まれていました。BitSight社は、これらの企業名を挙げていません。最も利用者が多かった国は、ブラジル、メキシコ、スペイン、ロシアなどです。
リチャード・クラーク氏は、米国の元サイバーセキュリティ最高責任者です。彼はAP通信に対し、このデバイスが”中国政府による悪意のある利用”を目的に設計されたとは考えていないが、その可能性は残されていると述べています。
クラーク氏は、中国企業は政府の命令に従うことが法律で義務付けられているため、この脅威は現実的であると述べています。「我々が見つけるであろうこれらのインフラ–中国が悪用する可能性のある–が、そしてユーザーがそれを知らないことがどれだけあるのだろうか ?」とクラーク氏は語りました。