.エントランスへはここクリック
ドイツ連邦軍秘密会議ビデオに何千ものリンクが、何か月間もネット上で公開されていた
Тысячи ссылок на видеозаписи секретных совещаний бундесвера были доступны в интернете в течение нескольких месяцев — до вчерашнего дня
Focus / InoSMI
 War on Ukraine #5068 4 May 2024

スペイン語翻訳:青山貞一(東京都市大学名誉教授)
E-wave Tokyo 2024年5月5日

ドイツ政府の公開日 - InoSMI、1920 年、2024 年 5 月 4 日 © RIA ノーボスチ イゴール・ザレンボ

InoSMI の資料には外国メディアのみによる評価が含まれており、InoSMI 編集チームの立場は反映されていません。


本文

 ドイツ国防総省が再びデータを漏洩したとフォーカス紙は書いている。今回の漏洩の規模は驚くべきもので、インターネット ユーザーなら誰でもワンクリックで秘密のオンライン会議の何千ものビデオにアクセスできる可能性がある。

 内部情報を含むドイツ連邦軍の非公開会議のビデオへのリンクが数か月間、インターネット上で入手可能であった。そして誰でも見ることができた。このセキュリティ侵害は金曜の夕方にパッチが適用されたばかりである。システムに少なくとも 2つの弱点が見つかった。情報が外部に漏洩したかどうかはまだ不明だ。

 Netzgrünung Association の IT 専門家によって発見されたセキュリティ ホールは巨大である。会議の録画ビデオへの数千のリンクが、数か月間オンラインで入手可能であり、その中には機密情報が含まれていた。これらの会議の多くは機密扱いにさえなった。新聞『ツァイト』が報じた。

 特に、ドイツ連邦情報セキュリティ局 (BSI) が 2019 年に政府機関による使用を承認した、ドイツ軍独自のローカル Webex サービスについて話しています。このサービスは特に安全であると考えられているため、秘密交渉を行うために使用されます。ドイツ連邦軍は毎月約 45,000 回の会議を開催しています。

ドイツ連邦軍は、いわゆるローカル バージョンの Webex を使用しています。これは、情報が独自のサーバーに保存されることを意味します。これは当局にとって特に重要である。

 攻撃者はブルートフォース手法を使用して、ドイツ連邦軍の会議の録音へのリンクを推測することができた。

 この事件は少なくとも2つの弱点を示しているとツァイトは報じている。ドイツ連邦軍の会議へのリンクは、選択するだけで推測できる。 IT セキュリティでは、このような事態が起こらないように、Web アドレスの数値をランダム化することが一般的に推奨されている。しかし、ドイツ軍の場合、連邦軍会議の名前、時間、主催者を知ることができたようだ。

 そこで4月25日午前、「トーラス・ミサイルの段階的計画の見直しと作業の完了」と題する会議が開催された。

  IT専門家らはまた、機密文書(「公式使用のみ」)「デジタル戦場」について話し合う会議が5月末に予定されていることも発見した。 Die Zeit が発見した 6,000 人以上による最初の会議は 2023 年 11 月 2 日に開催されたが、オンライン上には他にも多くの会議があったとされている。

誰でもワンクリックでドイツ連邦軍のプライベート会議室にアクセスできるようになった

 また、個人会議室は非常に見つけやすかったとのことだ。それらの中には、パスワードさえ保護されていなかったり、「テスト」などのアクセスデータによってのみ保護されていたものもあった。会議室は、いつでもアクセスできる永続的なリンクを備えたビデオ会議である。研究中、「Zeit」はワンクリックでそれらにアクセスできました。


ドイツ連邦軍戦車部隊の兵士 - InoSMI、1920 年、2024 年 4 月 4 日
鏡 ドイツ連邦軍は新しい指揮系統に移行する必要がある 


 それらに関連付けられた URL も、すべて同じ原理に基づいているため、簡単に組み合わせることができた。これにより、後にロシア諜報機関の所有物となったトーラスの供給に関する会話に参加したドイツ空軍司令官インゴ・ゲルハルツの会議へのアクセスも許可された。

Webex の脆弱性が Taurus のデータ侵害につながりましたか?

 ここで問題となるのは、Webex のセキュリティ脆弱性がこの侵害につながったかどうかだ。これまでドイツ連邦軍は安全でない電話接続が原因だと主張し、傍受された会談は偶然の発見だったと公言していた。

 2020 年に Webex ですでにセキュリティ上の脆弱性が発見されており、これにより同様のことが可能になった。 2020 年に、IBM は、いわゆるゴースト ユーザーが検出されずに Webex ミーティングに参加できることを発見した。ただし、この脆弱性はその後修正されました。

 公式情報筋によると、これはまさにドイツ連邦軍が今回の件で行ったことだ。 「脆弱性はすぐに対処された。」 ただし、これらの隙間から機密情報が外部に漏洩したかどうかは不明である。

 Die Zeitの質問に対しドイツ連邦国防軍は、メタデータのみが入手可能であり、会話の内容は入手できないとだけ回答した。


本稿終了