氏です。ケニー氏は当初Deere & Companyの展開するサービスの開発者アカウントを取得して不正アクセスに関する検証を行う予定だったとのこと。しかし、ケニー氏は作成したアカウントのユーザー名を失念してしまいます。そこで、ケニー氏がアカウント作成画面に思い当たるユーザー名を複数入力してみたところ、複雑な認証は求められず何度も「既にユーザー名が使われているか否か」を確認することができたとのこと。このことからケニー氏は「Deere & Companyのアカウント作成ページでは無制限にユーザー名の検索ができる」と考えました。
ケニー氏は仮説を検証するべくDeere & Companyのアカウント作成APIを解析しました。その結果、ユーザー名を検索するAPIを連続で実行するスクリプトの作成に成功。そのスクリプトを用いて「Deere & Companyのアカウントを所持している可能性が高い企業」1000社の企業名を検索したところ、約2分で1000社のうち192社の社名が「ユーザー名として使われている」という結果を得ることができました。 一般的に、アカウント作成システムには上記のような総当たり検索を防ぐための仕組みが導入されます。しかし、Deere & Companyにはそのような仕組みが存在していません。加えてケニー氏が上記の問題についてDeere & Companyに報告しようとしたところ、脆弱性報告プロセスが明確ではなく、担当者と何度もやり取りする羽目になったそうです。ケニー氏は一連のやり取りも含め、Deere & Companyのセキュリティ対策が脆弱であると指摘しているわけ。
カスペルスキーによると、近年開発されている農業機器では様々な部分が遠隔操作できるように作られているとのこと。そのため、農業機械やシステムがハッキングされてしまうと「化学肥料の散布量を通常の数百倍に設定して、土壌を数年間使用不能にする」「 を遠隔操作して、電線を切断する」「機器を使用不能にして収穫プロセスを中断させる」といった攻撃が可能となります。このような攻撃は農業機械の所有者に損害を与えるだけでなく、国家規模の食糧危機につながる恐れもあるとして、カスペルスキーは警鐘を鳴らしています。