米国の緊急警報システム (EAS: Emergency Alert System)について

(2/18 追記あり)
数日前に米国のテレビ放送でゾンビ警報が流れるという事件がありました。何者かによって外部から緊急警報システム EAS (Emergency Alert System)が侵入され、偽のメッセージを流されたことが原因です。その後のいくつかの報道によると、セキュリティ研究者によってこのシステムで利用されている ENDECと呼ばれる機器の脆弱性が複数見つかっており、US-CERTにもすでに連絡済みとのことです。


Flaws in Emergency Alert System Hardware Allow Remote Login, Zombie Alert Insertion | threatpost

The problems that Davis found represent a serious weakness in the EAS system. Some of the ENDECs are networked together in a way that enables them to relay messages to one another, so an attacker who could compromise one could conceivably cause problems on others, as well. Davis reported the vulnerabilities to US-CERT about a month ago and he said that some manufacturers of ENDECs have pulled some of the faulty firmware off the market.


EASは緊急事態が発生した際に、合衆国大統領によるメッセージなどを速やかに米国民に届けるため、2011年から緊急事態管理庁 FEMAなどの政府機関が整備をすすめてきたシステムです*1。上の記事にも説明がありますが、EASでは CAP (Common Alerting Protocol)と呼ばれるプロトコルにもとづいて、CAPサーバが緊急警報のメッセージを送信し、受信側がそれを適切に変換して自動的に放送する仕組みになっています。そのメッセージの受信と変換を行うのが ENDECです。CAPのメッセージはインターネット経由で受信できるらしく、ENDECを販売しているベンダーの説明によると ENDECは 10/100Base-Tの LANポートを装備しています。しかも Webベースで設定や制御が可能という親切設計!


ENDECの説明資料から引用

New Software Features

  • Web-Based control – all settings and functions can be performed from anywhere on the internet, including initiating or forwarding alerts, and changing configuration.


ENDECの外観 その1 (Sage Alerting SystemsのWebから引用)
http://www.sagealertingsystems.com/endecphotos.jpg
ENDECの外観 その2 (Monroe ElectronicsのWebから引用)
http://www.monroe-electronics.com/EAS_pages/product_photos/R189se.jpg
http://www.monroe-electronics.com/EAS_pages/product_photos/r189se_3-nic_backpanel_SM.jpg


ENDECはインターネット経由でメッセージを受信するために外部からアクセス可能になっており、しかもそこに Webベースの管理コンソールが動いているという、なんとも微妙な感じです*2
セキュリティ研究者による指摘では、ENDECにはリモートからログイン可能な深刻な脆弱性があるほか、CAPのメッセージの暗号化の仕組みにも問題があるようです。なお SHODANで検索してみると、Basic認証がかけられているものの数百台の ENDECがインターネットに接続されているようです*3。今回と同様の事件が起きないように早急に対処してほしいですね。


(2/18 追記)
Reutersの記事によると、被害にあった ENDECのうちの少なくとも一つは Monroe Electronics社製のようです。今回の事件を受けて Webのトップページに注意喚起のメッセージをのせています。

Security Reminder:

To improve overall security all One-Net R189 users are urged to:
1. Change the factory default password immediately
2. Make sure all network connections are behind secure firewalls


Security experts say zombie TV warning exposes flaws | Reuters
Brace for MORE ZOMBIE ATTACK ALERT pranks, warns security bod • The Register

*1:Wikipediaの説明によると緊急放送の仕組みとしては第3世代にあたるそうです。

*2:ここで例として挙げているベンダーの ENDECに脆弱性があるのかどうかはわかりません。

*3:当然ですがごく一部を除くとほとんど全て米国にあります。