自己紹介
どうもはじめまして。
oxlunaxoと申します。
普段は他人の記事を見るのが中心ですが、
いい加減に記事の一つや二つ書かないと深夜にフィッシングサイトのリンクを貼るスパマーや、怪しい製品の宣伝をするスパムアカウントと同類かなと思い、自分の低レベルのスキルでかける記事がなにか無いかと考えながらと、日課のセキュリティブログを流し見してたときに思いついた記事になります。
内容としては実際の攻撃手法とか説明するのでは無く実際にあった事件等を交え、自身に知識とか還元する目的を兼ねて書いているのでどちらかというと初心者向けになるかと思います。
結構タイトルは危ないですが、ガチガチの説明口調ではなく砕いてフランクに書く予定なので身構えなくてもいいです。
その代わり主観も結構入ると思うので、そういうのが苦手な方は戻るボタンが懸命かもしれません。
※コメント等での指摘やこういう事例があるよというリンク等は歓迎します。(記事への反映には時間がかかります。)
キッカケ
まずはこの動画(リンク先youtube)を見ていただきたいです。
Hacknet - Project Junebug - No Commentary
これはHackNetと呼ばれるゲームで主人公はハッカーとしてPortHack.exeの開発者であるプログラマーの死を追っていくというゲームになります。
ゲーム自体はLinuxっぽいコマンドを使いコマンドラインに様々なコマンドを打ち込んでいきながら様々なサーバ、PC、スマートフォンの脆弱性をついて侵入し、データを抜き出し(または削除や改ざん)て次の攻撃対象への足がかりを掴んでいく内容になります。
基本的な攻撃は実行ファイルのコマンドを叩くだけ(スクリプトキディ)なのでこの手のゲームとしてはかなり簡単な難易度だと思います。
何より定期的にSteamとかでほぼタダに近いディスカウントがされるので手を出しやすいです。
(これは布教なので宣伝扱いになりませんよね?)
ゲーム的にあえて演出されているところもありますが、結構操作としてはリアルな方です。
(セーブデータへのアクセスがユーザーIDとパスワードを打ち込んで実際にログインさせてくれるのでIDとパスワードを忘れたら詰みます)
何よりこの手のゲームで逆探知されてもセーブデータ消されないのがうれしい。
その中で主人公はとある医療機器メーカーのペースメーカにリモートアクセスし、管理者権限で機器を停止させることでとある患者を安楽死させてほしいという依頼を受けるか問われることになります。
###クラッキングでを殺せるの?
いきなり結論から言っちゃうと理論上可能だったりします。
最近でも米食品医薬品局(FDA)が注意喚起するくらいです。
FDAが医療機器へのハッキングリスクを注意喚起
過去には何度もペースメーカーの攻撃実証実験が公開されているのに関わらず製造元が認めてなかったり、直してなかったりしている状況が続いていたみたいですね。コワイ!(医療機器メーカーが認めない姿勢とか一番ヤバい)
心臓のペースメーカーはハッキングできる? エンジニアたちが示した脆弱性の「証拠」
###ロシアでは実際に子供が殺されかけた事例が起きている
ペースメーカーが攻撃されていなくても手術中に医療機器に攻撃があったら・・・?
ロシアのハッカーが子供の脳の手術中に医療機器を切断
上記の事件では[Purgen]と呼ばれるマルウェアを使用して手術中に医療機器類を軒並み停止されました。
※犯罪者の要求はのまず、何とか医療機器無しで脳手術を乗り切ったみたいです。
[Purgen]について調べてみましたが、詳細はつかめませんでした。ランサムウェアの類でしょうか?
(ご存じの方がいらっしゃったらご一報お願いいたします)
###今後、人命を狙ったクラックは増加していく・・・かも。
現在のクラッカーのトレンドとしてはスピアフィッシングやAIを用いたなりすましによる金銭の搾取がIPAによる情報セキュリティ2019年度版でわかってきました。
情報セキュリティ10大脅威 2019
IPAが「情報セキュリティ10大脅威2019」を公開!初ランクインの脅威とは?
ですが過去に病院等の人命が関わるインフラを狙った大規模なランサムウェアの攻撃があったことを忘れてはいけないと思います。
理論上可能であれば、個人情報より人命の方が金銭を脅し取る為の人質として最適だからです。
趣味レベルでの調査なので割と雑なところが大きいですが、
人の命を狙ったサイバー攻撃というのは
Watchdogsやhitman等といったフィクション上の話ではなく、徐々に実現しつつあるという危機感を持ち、
人命に関わる攻撃の知識、情報をもっと人々(特に一般の人達)は知っていくべきなのではないかと思います。
次はテーマは異なるでしょうがソースコードの提示が含まれた記事が書きたいな・・・
###2020/1/14追記
てんかん発作の誘発を狙ったTwitter上での攻撃、その影響(Kaspersky blog)
人命を狙った攻撃が去年11月のtwitter上で行われていたみたいですね。
内容としてはtwitterの自動再生機能の設定を受けないapng形式でポケモンフラッシュのような画像を、てんかんに関連するハッシュタグをつけて米国のNational Epilepsy Awareness Month(てんかん月間)に投稿しまくるという殺意の高いものでした。
その攻撃に対して、twitterはapng形式のファイル投稿が出来なくし、seizure(発作)というキーワード検索結果に画像を表示させないようにすることで対応した模様です。