通常、不正なコンセントタップを見つけたり、ユーザーが自前のサージプロテクターを持参して使用したりしても、それほど気にしないかもしれません。しかし、「Power Pwn」という新しいデバイスのおかげで、すぐに懸念材料になるかもしれません。
Pwnie Expressという会社がこのデバイスの予約注文を受け付けています。同社のウェブサイトによると、「Pwnie Expressは、ITセキュリティ専門家向けに革新的で迅速に導入できるサイバーセキュリティ製品を専門としています。」
ハッキングやペネトレーションテストのツールキットとしても機能する電源というアイデアは、Pwnie Expressにとって目新しいものではありません。コンセントに差し込むだけの小型ユニットも提供しています。しかし、一見するとありきたりなサージプロテクター付きコンセントタップに過ぎないPower Pwnよりも、Pwn Plug Miniの方が注目を集めるかもしれません。
オフィスにPower Pwnユニットを接続すると、ネットワークとデータセキュリティにとって深刻な脅威となります。Power Pwnは、Wi-Fi、300メートル(約300メートル)まで届く高利得Bluetooth、3Gセルラー接続、そしてデュアルイーサネットポートを搭載しており、攻撃者はネットワーク内外から様々な方法でデバイスと通信することが可能です。
このデバイスは、NAC(ネットワークアクセス制御)などのセキュリティ対策をバイパスする機能を備えています。不正なデバイスをネットワークから遮断するために設計されたセキュリティ対策も備えています。アプリケーション対応ファイアウォールをトンネルで通過し、攻撃者との永続的かつ秘密の暗号化接続を維持し、pingを通らず、検出を回避するためのリスニングポートを持たないステルスモードで動作します。
オフィスのキュービクルにデバイスを安全に設置すれば、所有者は様々な組み込みツールにアクセスできます。Power Pwnには、Debian 6、Metasploit、Kismet、nmap、Aircrackなどがプリインストールされています。そして何より素晴らしいのは、120/240VのACコンセントタップとして実際に機能することです。
これは1,295ドルでペネトレーションテストツールとして販売されています。しかし、Wired.comによると、このデバイスの研究開発資金は、DARPA(国防高等研究計画局)の「サイバー・ファスト・トラック」と呼ばれるプログラムから提供されたとのことです。もしかしたら、このデバイスの真の目的は、政府の秘密作戦、つまりStuxnetやFlameのような高度なマルウェア攻撃を補完するための物理的なペネトレーションテストツールにあるのかもしれません。
本来の目的やPwnie Expressによるマーケティング方法に関わらず、1,300ドルあれば誰でも1つ購入し、あなたのオフィスにこっそりと仕掛けることができるのです。
オフィス内のコンセントタップとサージプロテクターの在庫を確認しましょう。マークやラベルを付け、自分のものであることを識別できるようにし、承認されていない、または許可されていないコンセントタップの使用を禁止するポリシーを導入しましょう。ネットワークとデータは、このポリシーにかかっている可能性があります。
