1: ムヒタ ★ 2019/06/23(日) 13:35:25.02 _USER
yu_raspberry
 米航空宇宙局(NASA)のジェット推進研究所(JPL)の研究データが昨年、サイバー攻撃により盗まれていたことが、米連邦政府の監察総監室(OIG)が6月18日付で公開した報告書(リンク先はPDF)で明らかになった。

 2018年4月にJPLのネットワークに侵入した攻撃者が約10カ月の間ネットワーク内の多数の脆弱性を利用して行動範囲を広げ、火星科学研究探査機のデータを含む約500MBの機密データを盗んだ。深宇宙通信情報網DSN(ディープスペースネットワーク)のデータにもアクセスした痕跡があるため、JPLのネットワークからDSNの宇宙飛行関連システムを切断したという。

 攻撃者の侵入口はJPLのネットワークに無許可で接続していたRaspberry Pi端末だった。本来ならば最高情報責任者室(OCIO)がネットワークに接続するすべての端末を管理しているはずだが、正常に機能していなかった。管理者の1人はOIGに対し、新たに端末を接続する際はセキュリティデータベースに手動で登録することになっているが、更新機能がうまく動かないことがあり、そのまま登録を忘れることがあると語ったという。

 OIGはNASAのセキュリティ体制の問題点を多数挙げている。例えばITシステムにセキュリティ脆弱性が見つかっても、180日以上放置していることがあった。また、JPLはその性格上、外部パートナーにもネットワークへのアクセスを許可しているが、ネットワークを分離して機密データへのアクセス制限を適宜設定していない。

 OIGは報告書でNASAに改善を求めた。報告書のConclusionには「JPLのネットワークにはまだ重大な脆弱性が残っており、機密情報がサイバー攻撃の危険にさらされている」とある。調査はまだ継続中で、攻撃者が特定されているかどうかは不明だ。
2019年06月23日 07時45分
https://www.itmedia.co.jp/news/articles/1906/23/news012.html
引用元: http://egg.5ch.net/test/read.cgi/bizplus/1561264525/


51: 名刺は切らしておりまして 2019/06/23(日) 17:30:01.60
>>1
ペネトレーションテストがだらしないから侵入を許した
NASA なのにだらしないね

3: 名刺は切らしておりまして 2019/06/23(日) 13:41:57.67
イランの核研究所に侵入したのはCIAだっけ

4: 名刺は切らしておりまして 2019/06/23(日) 13:45:44.97
結局人間がリスクなのね

5: 名刺は切らしておりまして 2019/06/23(日) 13:46:53.81
そのラズパイが
最初から意図して無許可接続で
使われていただけのような…

6: 名刺は切らしておりまして 2019/06/23(日) 13:50:21.87
アポロ計画の全容バレたのか

7: 名刺は切らしておりまして 2019/06/23(日) 13:54:29.94
共産圏でラズパイの売り上げ急増か。

8: 名刺は切らしておりまして 2019/06/23(日) 13:57:31.66
人が最大のセキュリティホールか

9: 名刺は切らしておりまして 2019/06/23(日) 14:02:42.60
結局ヒトが故意に穴開けちゃったらどんなシステムだろうが盗難を防ぐことができない

10: 名刺は切らしておりまして 2019/06/23(日) 14:05:10.68
まあ、大したことない情報なんですけどね

12: 名刺は切らしておりまして 2019/06/23(日) 14:07:03.20
結局こうなるんだよねw
いやほんっとまじでセキュリティ対策なんて非生産的でクリエイティブのカケラもない事に現場は付き合ってられんて
どうしてもやりたいなら外部のコンサルを入れるか別途権限を与えて何者からの影響も受けない専門の部署を設けるしかない

29: 名刺は切らしておりまして 2019/06/23(日) 14:50:15.06
>>12
外部のコンサルねぇ

13: 名刺は切らしておりまして 2019/06/23(日) 14:11:14.28
自分もよくやらかして怒られるんだけど、
NASAの中の人でさえやらかすんだから
自分がやらかすのはしょうがなくね?
そんな小さなミスを怒っても、
怒られた方は気持ちが萎縮して実力の数%しか発揮できなくなるから
却って効率悪いと思うよ。

40: 名刺は切らしておりまして 2019/06/23(日) 16:14:06.91
>>13
まるで自分には実力があるような書き込みなのだなぁ

16: 名刺は切らしておりまして 2019/06/23(日) 14:25:01.09
映画みたいだな

17: 名刺は切らしておりまして 2019/06/23(日) 14:25:12.03
ケータイ、スマホ、USBメモリに続いて、ラズパイも持ち込み禁止になるのか
考えるだけでもおっくうだな

19: 名刺は切らしておりまして 2019/06/23(日) 14:27:46.50
日本企業のセキュリティ対策は万全だ
未だに紙で事務処理やってるからな!

21: 名刺は切らしておりまして 2019/06/23(日) 14:29:10.00
自衛隊のLANなんて勝手に繋いでIP取ったらすぐに、
飛んでくるって聞いたぞ。

22: 名刺は切らしておりまして 2019/06/23(日) 14:32:40.43
LANの接続口なんて最近のオフィスには至るところにあるからね
その全てを監視するなんて無理
端末ごとにアクセス権を設定するしかない

うちの会社はそうした結果、PCじゃないネットワーク機材がほぼ使えなくなった…
デバッガや測定器がLANにつながらず遠隔監視も操作もあったもんじゃない
担当者がフロアを行き来してるよ
働き方改革とはいったい何だったのか

23: 名刺は切らしておりまして 2019/06/23(日) 14:38:38.13
十年分の研究データをいただきだ
俺を甘く見るなよ

24: 名刺は切らしておりまして 2019/06/23(日) 14:46:43.16
俺の職場は問題ないな。
そもそもLANがない(笑)

27: 名刺は切らしておりまして 2019/06/23(日) 14:48:39.63
生ぬるい
マウスにzero入れられたら防御不可能
マシン周辺は素っ裸でアクセスするくらいの業務規程作らんと無理

33: 名刺は切らしておりまして 2019/06/23(日) 15:17:15.98
> そのまま登録を忘れることがあると語ったという。
> ネットワークを分離して機密データへのアクセス制限を適宜設定していない。
 
ワカチコワカチコー!

38: 名刺は切らしておりまして 2019/06/23(日) 15:59:07.85
NASAってサイエンス部門とエンジニアリング部門とではセキュリティが全然違う。
サイエンス系は人の受け入れも含めてかなり緩い。RasPi設置もサイエンス系かな。

とはいえ,エンジニアリング系も,15年前と違って,予算縮小に伴う人員不足を
補うために大学との共同研究や博士課程学生受け入れもするようになったからな。
以前より,若い人が増えて活気が出た気がするけど,結構,セキュリティが緩く
なったかも。

45: 名刺は切らしておりまして 2019/06/23(日) 16:51:39.13
>>38
えらい詳しいなw

41: 名刺は切らしておりまして 2019/06/23(日) 16:29:16.24
>ネットワークを分離して機密データへのアクセス制限を適宜設定していない。

シスコの最下級資格のCCNAの基本ですらやってないんだな
IPベースで分離してないって、バカHUBでつないでるのかよ。
最高レベルのアホネットワークだな

46: 大島栄城 ◆n3rBZgRz6w 2019/06/23(日) 16:54:13.02
なにも漏れてないどころか、こっちが盗まれてんじゃ

57: 名刺は切らしておりまして 2019/06/23(日) 18:29:41.78
よくこんなんで日本はセキュリティがザルだとかシタリ顔で言えるな、って話だな。

58: 名刺は切らしておりまして 2019/06/23(日) 18:50:38.41
そのアホの刑期は200年くらい?うちの会社にも導入してもらいたいわ

スポンサード リンク