独占 欧州宇宙機関(ESA)は水曜日、またしても大規模なセキュリティ侵害を確認し、責任者となるデータ窃盗犯については刑事捜査の対象になるとThe Registerに伝えた。これは大事になる可能性がある。
週の初め、Scattered Lapsus$ Huntersは、公開されているCVEを悪用して9月にESAのサーバーへ初期アクセスを得て、極めて機微なデータ500GBを盗み出したと私たちに語った。これには、運用手順、宇宙機およびミッションの詳細、サブシステムの文書、さらにSpaceX、Airbus Group、Thales Alenia Spaceなどを含むESAパートナー各社の専有の請負業者データが含まれるという。
さらに犯罪者側によれば、そのセキュリティホールは依然として開いたままで、宇宙機関の稼働中システムへの継続的なアクセスが可能だという。
「ESAは、このサイバーインシデントについて管轄する司法当局に通知し、刑事調査を開始する手続きを進めている」とESAの広報担当者はメールで述べた。同機関は、侵入者側の主張に関するThe Registerの具体的な質問への回答を拒否した。
これは、犯罪者が12月のセキュリティインシデントをESAが認めた約1週間後のことだ。この事件では、ESAのデータ200GB超がまだ死んでいないBreachForumsで販売に出された。
Shiny Lapsus$ Huntersの広報担当者およびThe Registerが確認したサンプルファイルによれば、盗まれたデータには内部ファイルと、請負業者に由来する文書の両方が含まれているようだ。内容は、運用手順、非常時対応計画、システム能力およびセキュリティプロトコル、宇宙機の許容値と故障モード、地球観測(EO)衛星コンステレーションの詳細、ならびに衛星の姿勢と位置の管理に関するその他の文書に及ぶ。
侵害で持ち出されたとされる請負業者データは、SpaceX、Airbus Group、Thales Alenia Space、OHB System AG、EUMETSAT、Sener、Teledyne、Leonardo、Deimos Imaging、Sitael、SkyLabs、ISISPACEなど、その他の企業に属するという。
さらに、盗まれたファイルには、ギリシャの国家宇宙プログラム、ESAのNext Generation Gravity Mission、同機関のFORUM(Far-infrared Outgoing Radiation Understanding and Monitoring)Earth Explorer Mission、TRUTHS(Traceable Radiometry Underpinning Terrestrial- and Helio-Studies)など、さまざまな宇宙プログラムやESAミッションに関する機微な情報も含まれているとされる。
恐喝グループによれば、ESAは少なくとも1週間前から侵害を把握しており、サンプルデータもダウンロードしたという。
これはESAにとって初めて――どころか、2度目や3度目ですらない――セキュリティ上の失態だ。同機関のインシデントは少なくとも2011年以降、積み重なっている。
先月のクリスマス後のデータ流出に加え、同機関のオンラインストアも休暇直前の2024年に攻撃を受け、悪党が偽の決済ページを挿入して、宇宙をテーマにしたクリスマスプレゼントを買い求める利用者の顧客情報を盗み取った。
当時、ESAは自らのオンラインストアを管轄していないと述べていた。
また、ESAの3つのドメインがSQLの脆弱性を通じて2015年に侵害され、数千人の購読者と一部ESA職員に属する情報が盗まれ、漏えいした。
そして2011年には、何者かがESAのシステムに侵入し、その後、管理者用、コンテンツ管理、FTPのログイン認証情報、Apacheサーバーの設定ファイルをオンラインで公開した――ただし同機関は、内部ネットワークには影響しなかったとしている。 ®
