セキュリティ研究者たちは、遠隔から簡単に解凍を指示できる、インターネットに接続された何千台もの業務用冷凍庫をみつけた。
この脆弱性を発見した、セキュリティ研究者の一人であるNoam Rotemによれば、英国に本社を置くResource Data Management社によって製造された、7000台を超える脆弱な温度制御システムが、インターネットからアクセス可能であり、同社のウェブサイトのドキュメントに記載されたデフォルトのパスワードを入力することによって操作可能になっている。
これらの脆弱なユニットの多くは、英国、アイルランド、さらにはスウェーデン、ドイツ、中国などのレストラン、病院、スーパーマーケット、食料品店の業務用冷凍庫に搭載されていた。研究者たちはまた、マレーシアの製薬会社やドイツの冷却施設にも同ユニットを発見している。
こうした冷凍庫に解凍指示が出された場合には、予想できないほどの水害、経済的損失、そして在庫の破壊につながる可能性がある。高付加価値産業の場合には、その損失は膨大なものになる可能性がある。
「これらのシステムには、どのようなブラウザからでもアクセスすることができます」とRotemは記事中で述べている(この情報は彼が一般公開する前に、TechCrunchに伝えられた)。「必要なのは正確なURLだけです。私たちのテストが示しているように、それを見つけるのはそれほど難しくありません」。
Rotemによると、マシンを解凍するには単に「ボタンをクリックしてデフォルトのユーザー名とパスワードを入力する」だけであり、それらは同社のデバイス上でほぼ共通なものであるという。TechCrunchはShodanを使うことで、研究者が言う通り数百の冷凍庫を発見した(Shodanは一般アクセスが可能なデバイスやデーターベースを見つけることができる検索エンジンである)、しかしアカウントとパスワードを使ってアクセスすること自体は適法ではない可能性が高いため、実際のアクセスは行っていない。
続きはソースで
数千台の業務用冷凍庫が「デフォルトのパスワード」で操作可能な状態に - Engadget 日本版
https://japanese.engadget.com/2019/02/12/industrial-refrigerators-defrost-flaw/