米緊急事態管理庁の PBX にハッカーが侵入

米連邦緊急事態管理庁 (FEMA) は、8月第3週の週末にメリーランド州エミッツバーグにある同庁のトレーニングセンターのボイス メール システムにハッカーが侵入した件について、その侵入手段の特定を急いでいる。ハッカーは、このシステムを悪用して中東とアジアに1万2000ドル相当の通話を行なっていた。

FEMA では最近、電話設備を更新したが、今回のハッカーはその際に FEMA の請負業者が設置した構内電話交換機 (PBX) の脆弱性を利用して侵入した。電話の相手先は、アフガニスタン、サウジアラビア、イエメン、インドなどの国々だった。

FEMA の広報担当者、Debbie Wing 氏は取材に対し「8月第3週の週末に、通信関係の請負業者である Sprint から、トレーニングセンターにおける問題について警告を受けた。そのため直ちに、すべての国際通話回線を遮断し、長距離通話の監視を始めた」と話した。

Sprint の広報担当者 Matt Sullivan 氏は取材に対し、侵入された PBX は同社のものではないと指摘し「欠陥があったとしても、それはわれわれのネットワークのものではない」と主張した。

Wing 氏は予備調査で見つかった証拠は「該当する回線の作業で請負業者側にミスがあったことを示す」ものだと指摘した。同氏はさらに、FEMA は「直ちにこれを修正し、再発しないようあらゆる措置を取っている」ことを明らかにした。

Wing 氏はこの業者の名前を明らかにはしなかったが、ハッカーが PBX に侵入したことは認めた。しかし、侵入を受けたのが普通の PBX だったのか、VoIP を利用した PBX だったのかは明確にはしなかった。VoIP は、インターネット電話 Skype などに使用されている技術で、これを使えばユーザーはパソコン経由で電話がかけられる。

現在、FEMA の最高情報責任者 (CIO) が同庁のワシントン D.C. にある各オフィスで調査にあたっている。Wing 氏は調査が終結する時期の見通しは明らかにしなかったが、「できる限り迅速に、かつ能率よく正確な調査を進めたい」と語った。