Duo Labsの上級セキュリティ研究者Mark Loveless氏も、同様の結論に達している。同氏は、この種の攻撃を実行するために必要な情報の多くは、オンラインで簡単に発見できると述べている。
Loveless氏はブログ記事の中で、「ほとんどの知識はGoogle検索で収集可能だ。さまざまなサイレンやシステムのマニュアルをダウンロードすることができるほか、販売されているこれらのシステムの制御ソフトウェアは、無料でダウンロードできる(デモ版のみ)ため、(屋外警報システムの)管理に関する知識を短期間で習得することは可能だ」と述べている。
米ZDNet編集部で実際に検索してみたたところ、Federal Signail製機器の資料を発見することができ、これにはデフォルトのユーザー認証情報が設定された状態で販売されている、サイレンの制御信号を無線送信する機器に関するものも含まれていた。もしデフォルトの認証情報が残っているデバイスが存在すれば、危険な状態にある可能性があり、これらのデバイスの多くはインターネットに接続されている。ただし、ダラス市のシステムがインターネットに接続されていたかどうかは明らかになっていない。
ダラス市については済んでしまった話だが、これによって教訓が得られた。同市の危機管理オフィスでディレクターを務めるRocky Vaz氏は、4月10日に、サイレンシステムは既に復旧したと発表している。
一方Federal Signalは、4月10日に電子メールで発表した声明の中で、ダラス市の緊急屋外警報サイレンについての契約は終了しているものの、同社はダラス市と協力して、警報が作動した原因の特定に「積極的に取り組んでいる」としている。
この調査の結果は、同様の脆弱性を持つほかの都市にとって有益かもしれないとRisley氏は言う。
「攻撃者が商用のソフトウェア無線の機器を購入できるため、無線攻撃はかなり増えてきている」と同氏は言う。「(緊急警報システムに限らず)無線制御を使用するシステムは、見えない無線攻撃に弱いことが多い」
今回のケースでは、ダラス市はまだ犯人を特定していないと見られるが、専門家によれば、信号の発信場所を三角測定で特定することは不可能ではないという。同市はすでに、容疑者探しのためにFCCの専門家に支援を求めている。しかし現時点では、責任を問われているのは、サイレンの制御信号を保護していなかった同市だ。
現実問題として、重要インフラや緊急用システムはハッカーの標的になることが多く、ダラス市のサイレンに対する攻撃は、想定外のシステムが攻撃される可能性があることを示している。
少なくとも今回の事件はダラス市の注意を引いた。次は別の都市で同様の問題が発生する可能性がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
