制御システムに関する最近の脅威と
JPCERT/CC の取り組み
2018年03月10日
JPCERTコーディネーションセンター
制御システムセキュリティ対策グループ
阿部 真吾
アジェンダ
はじめに
JPCERT/CCの紹介
制御システムにおけるサイバー脅威の傾向
制御システムにおける脆弱性の動向
セキュリティに関する対応を行う上での課題
おわりに
インシデントとは
(コンピュータセキュリティ)インシデントとは
➢
コンピュータセキュリティに関わる事象(事件・事故)
顧客情報の入ったUSBメモリを紛失した
機密情報をSNSにアップしてしまった
システムの不具合で生産・製造ラインが停止してしまった
サイバー攻撃によって
ウェブサイトが改ざんされた
マルウエアに感染し情報を盗まれた
Web
改ざん
マルウエア
閲覧者
攻撃者
情報や金銭
ウェブサイト改ざんによる被害の流れ(一例)
インシデントが発生してしまったとき
漏えい人数
496万0063人
インシデント件数
799件
想定損害賠償総額
2541億3663万円
一件あたりの漏えい人数
6578人
一件あたり平均想定損害賠償額
3億3705万円
一人あたり平均想定損害賠償額
2万8020円
引用:JNSA, 2015年情報セキュリティインシデントに関する調査報告書【速報版】
想定される影響
➢
金銭的な被害
➢ 情報漏えいによる損害
➢ 生産停止による損害
➢ ウェブサイト停止による機会損失
➢ セキュリティ対応コストの増加
➢
ブランドイメージへの影響
➢
他組織への被害(感染)拡大
etc
サイバー攻撃の対象となりうるモノの例
組織に存在するIT機器、システム
➢
以前からあるもの
サーバ類(ウェブサーバ、DBサーバ、ファイルサーバ)
パソコン類(サーバ用PC、業務用PC、持出PC)
ルータ
➢
ここ数年になって出てきたもの
複合機
ネットカメラ
NAS
テレビ会議システム
➢
より最近出てきたもの
遠隔監視システム
スマート化されたフィールド機器
操業・運転への影響
操業の停止
—
完全停止 (自動復旧できない)
—
一時停止して再起動
誤動作、生産物/サービスの異常
—
生産物の品質が下がる
施設または環境の破壊や人的被害
—
工場の一部が破壊される
—
従業員がけがをする
情報漏えい
—
操業上の秘密情報が漏えいする
被害に遭ったときに受ける影響が非常に大きい
攻撃者の分類
攻撃の目的をもとに攻撃者を分類すると、それぞれの攻撃手法や
技術力が異なることが推察できる
愉快犯/ハクティビスト
金銭目的の攻撃者
標的型攻撃の実行者
攻撃の目的
- 政治的な主張
- 技術力のアピール
- 金銭の獲得(不正送金)
- 標的とする組織内の重要
情報窃取やシステム破壊
主な攻撃手法
- Web サイトに対するDoS
- 政治的な主張を目的とす
るWeb サイトの改ざん
- SNS アカウント乗っ取り
-Web サイト改ざんに
よるマルウエアの配布
-マルウエアが添付された
メールの送付
- Web サイト改ざんによる
マルウエアの配布
(ただし攻撃対象のみに限定)
技術力
低
高
JPCERT/CC にて独自に分類
JPCERTコーディネーション
センターの紹介
JPCERT/CCとは
一般社団法人 JPCERT コーディネーションセンター
J
a
p
an
C
omputer
E
mergency
R
esponse
T
eam /
C
oordination
C
enter
➢
コンピュータセキュリティインシデントへの対応、国内外にセンサを
おいたインターネット定点観測、ソフトウエアや情報システム・制御
システム機器等の脆弱性への対応など
国内の「セキュリティ向上を
推進する活動」
を実施
➢
サービス対象: 日本国内のインターネット利用者やセキュリティ管理
担当者、ソフトウエア製品開発者等(主に、情報セキュリティ担当者)
➢
インシデント対応をはじめとする、国際連携が必要なオペレーションや
情報連携に関する、
日本の窓口となる「CSIRT」
※
各国に同様の窓口となるCSIRTが存在する
(例、米国のUS-CERT, CERT/CC, 中国のCNCERT, 韓国のKrCERT/CC)
経済産業省からの委託事業として、サイバー攻撃等国際連携対応
「JPCERT/CCをご存知ですか?」
JPCERT/CCの活動
重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信
早期警戒情報
海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援
CSIRT構築支援
脆弱性情報ハンドリング
➢
未公開の脆弱性関連情報を製品開発者
へ提供し、対応依頼
➢
関係機関と連携し、国際的に情報公開
日を調整
➢
セキュアなコーディング手法の普及
➢
制御システムに関する脆弱性関連情報
の適切な流通
マルウエア(不正プログラム)等の攻撃手法の分析、解析
アーティファクト分析
各種業務を円滑に行うための海外関係機関との連携
国際連携
インシデントの予測と捕捉
インシデント予防
発生したインシデントへの対応
制御システムに関するインシデントハンドリング/情報収集,分析発信
制御システムセキュリティ
日本シーサート協議会、フィッシング対策協議会の事務局運営等
国内外関係者との連携
➢
マルウエアの接続先等の攻撃関連
サイト等の閉鎖等による被害最小化
➢
攻撃手法の分析支援による被害可能性
の確認、拡散抑止
➢
再発防止に向けた関係各関の情報交換
及び情報共有
インシデントハンドリング
(インシデント対応調整支援)
情報収集・分析・発信
定点観測(TSUBAME)
➢
ネットワークトラフィック情報の収集
分析
➢
セキュリティ上の脅威情報の収集、分
析、必要とする組織への提供
JPCERT/CC ICSR について
制御システムセキュリティ対策グループ
ICSR
:
I
ndustrial
C
ontrol
S
ystems security
R
esponse group
➢
2012年夏、JPCERT/CC内に本格的に「制御システムセキュリティ
対策」を扱う専門部隊を立ち上げ。
➢
主な業務は以下。
1. ICSインシデント報告の受け付け・対応支援
2. ICS関連製品の脆弱性情報ハンドリング
3. ICSセキュリティ関連の情報収集・分析、情報提供
4. 自己評価ツール(J-CLICS/SSAT)の提供
5. ICSアセスメントサービス
6. 普及啓発活動、外部連携
➢
制御システムセキュリティカンファレンスの開催
➢
コミュニティの運営
7. 調査研究
など
➢
米国では、制御システムを専門に扱うICS-CERT(2009年より活動
開始)が存在する。
インシデント未然防止活動
インターネットに無防備に接続されたICS機器が悪用され
将来的なインシデントに繋がらないよう、未然防止の観点
から利用者に対して通知を行っている
➢
設定の見直し、セキュリティ意識の向上を目的としている
通知方法
➢
電子メール
通知先
➢
Whois情報の管理者連絡窓口もしくは技術連絡担当者
➢
過去の通知先
通知内容
➢
インターネットに公開されているプロトコル
➢
稼働しているとみられる製品の情報
➢
想定される脅威 etc
インターネットに接続された機器の検索|インシデント未然防止活動
SHODAN/ZoomEyeなどの検索サービス
➢
インターネットに接続された機器に対して様々な
リクエストを送信し、そのレスポンスをデータベース化した
Webサービス
➢
Modbus/TCPやEtherNet/IPといった一般的なプロトコル
だけでなく、特定のPLCが利用するプロトコル、
HMIなど制御システム内のアプリケーションが利用する
プロトコルなどへの対応(機能追加)が進んでいる
➢
新たな検索サービスも登場している
SHODAN
—
https://www.shodan.io/
ZoomEye
—
https://www.zoomeye.org/
censys
—
https://censys.io/
ICSfind
—
http://icsfind.com/
引用:
https://www.shodan.io/explore/category/ind
ustrial-control-systems
SHODAN等の検索サービスを利用した調査|インシデント未然防止活動
バナー情報やIPアドレスから様々な情報が特定できる
➢
製品ベンダ名
➢
製品型番
➢
(ソフトウエア、ファームウエア等の)バージョン
➢
Whois情報
SHODANで得られるバナー情報
ICSRが発信している制御システム関連情報
ニュースレター
—
月刊で発行、メーリングリストにて配布
—
脅威事例、セキュリティニュース、ICS-CERT情報 etc
ICSセキュリティ情報共有ポータルサイト(ConPaS)
—
米国ICS-CERTが公表した情報の抄訳
—
過去に発行したニュースレターや参考情報
—
セキュリティ関連ガイドラインや基準等の邦訳の掲載
—
ニュースクリップ etc
自己評価ツール
—
日本版SSAT(SCADA Self Assessment Tool)
—
J-CLICS
詳細は以下をご覧ください
https://www.jpcert.or.jp/ics/
制御システムにおける
サイバー脅威の傾向
41
196
197
257
245
295
290
0
50
100
150
200
250
300
350
2010
2011
2012
2013
2014
2015
2016
米ICS-CERTインシデント統計(米会計年度別)
インシデント報告件数
ICS-CERTインシデント統計
ICS-CERTのインシデント統計によると、インシデント報告は増加傾向にある
ただし、これらの多くは情報系への影響のみで、
制御システムにまで影響が及んだインシデントはごく一部と思われる
ICS-CERTの2010~2016のデータを元にJPCERT/CCにて作成
https://ics-cert.us-cert.gov/Other-Reports
ICSを狙って作られたマルウエア
マルウエア名
報告年
概要
Stuxnet
2010
・イランのウラン濃縮工場の遠心分離機に異常な回転を
させて破壊
Havex
(DragonFly,
EnergeticBear,
CrouchingYeti)
2014
・制御ベンダのWebサイトを改ざんし制御機器用の
ソフトウエアにマルウエアを仕込む
・OPC関連情報を収集
BlackEnergy2
2014
・SCADAの脆弱性を突いて侵入
・複数の企業のインターネットに接続されたHMIが感染
BlackEnergy3
2015
・電力およびその関連業界が感染 (情報収集に利用された?)
・2015年末と2016年末のウクライナでの停電の前段階で
多数の感染
・KillDiskを用いてICSのディスク装置の内容を破壊
Industroyer
(CrashOverRide)
2017
・
2016年末にウクライナで遮断機を動かし停電を引き起こした
HatMan
(Triton, Trisis)
2017
・Schneider社製安全計装コントローラのプログラムを改竄
・監視していた設備が緊急停止
停電を引き起こしたIndustroyer
ウクライナの電力網に対するサイバー攻撃に使用されたと
みられるマルウエア
—
ESET社のレポート
https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf
—
Dragos社のレポート
https://dragos.com/blog/crashoverride/CrashOverride-01.pdf
特徴
—
電力供給システムや輸送システムで使われるプロトコルを
悪用
IEC 60870-5-101、IEC 60870-5-104、IEC 61850、OPC DA等
—
変電所のスイッチやブレーカを制御可能だった
—
機能がモジュール化されているため標的とする地域や
安全計装を狙ったHatman
Schneider社製の安全計装システムTriconexを狙った
マルウエア
—
FireEye社の解説記事
https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
—
ICS-CERTのレポート
https://ics-cert.us-cert.gov/sites/default/files/documents/MAR-17-352-01%20HatMan%E2%80%94Safety%20System%20Targeted%20Malware_S508C.pdf
概要
—
2017年8月4日に中東の企業でTriconexの自己検証機能が
異常を検知し、監視していた設備が緊急停止
—
その後の調査でマルウエアHatManが見つかり12月中旬に
公表
HatManの動作概要
エンジニアリングワークステーション等から設定用
アプリケーションになりすましてコントローラに
攻撃用スクリプトを注入し、それを起動する
コントローラに注入されたスクリプトにより
コントローラの状態の偵察などを行う
(潜在的には改ざんも可能)
引用:
https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
Hatmanにおける考察
安全計装システムが改ざんされても
甚大な災害には直結しないが…
—
異常がないのに緊急停止
—
異常があっても見過ごされる
…といった事態が懸念される
コントローラの設定変更を禁止する
「キー」が備わっているが…
—
切り替えて厳格運用しているか?
—
侵害され無効化される可能性
引用:
https://www.fireeye.com/blog/threat-
research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
ランサムウエアの大流行とICS
そもそもICSを狙って開発されたわけではない
—
「システムを復旧させて欲しければ身代金を支払え!」
—
身代金を払っても、システムを復旧できるとは限らない
ランサムウエアにもバグがある
破壊型のマルウエアが「ランサムウエア」に見せかけるケースも
ICSが感染すれば、操業の停止や復旧コスト等、企業の
業績に響くような被害にも発展する
バックアップが無いために復旧に手間取るケースもある
ランサムウエアの大流行とICSへの影響
米国NSAから流出したとされるServer Message
Block(SMB)の脆弱性を突く攻撃コードが組み込まれた
ことにより強い感染力を獲得したWannaCryとNotPetya
時期
記事
2016年
ランサムウエア攻撃が増加(前年比5割増)
2017年3月
Server Message Blockの脆弱性情報の公表
2017年5月
ランサムウエアWannaCry攻撃
1日で150ヶ国の23万台に感染
2017年5月
Marcus Hutchins氏がkill switchを発見
2017年6月
破壊型マルウエアNotPetya攻撃
ウクライナ国内の1.25万台を攻撃
その後に少なくとも64ヶ国に感染拡大
北朝鮮による攻撃?
ロシアによる
対ウクライナ攻撃?
世界的に大きな影響を与えたWannaCry
ワーム機能を備えたランサムウエア
https://ics-cert.kaspersky.com/reports/2017/06/22/wannacry-on-industrial-networks/
特徴
—
ワーム機能を備えたランサムウエア
内部・外部ネットワークへの感染拡大を行う
秒間10-20パケット送信
—
感染拡大にはSMB(MS17-010で修正)の
脆弱性を悪用する
EternalBlueと呼ばれるツール
—
KillSwitchと呼ばれる動作を制御する
機能が存在する
この機能が存在しない亜種もある
主な被害
—
欧州の自動車工場では操業を
停止した事例がある
業績にも影響を与えたNotPetya
システムを破壊してしまうマルウエア
https://www.cylance.com/ja_jp/blog/jp-threat-spotlight-petya-like-ransomware-is-nasty-wiper.html
特徴
—
ネットワーク内への感染拡大を行う
SMB(MS17-010で修正)の脆弱性の悪用する
認証情報を摂取するツールを使用する
—
MBRを書き換える(OS が起動不可)
主な被害
—
豪州のチョコレート工場で操業が1日停止
—
欧州の物流会社、米国の製薬会社では業績にまで影響
NotPetya被害: FedEx社
米国に本拠を置く物流企業
売上: 503億ドル、従業員数: 40万人
2016年5月に買収した欧州のTNT Expressで
6月27日にランサムウエア攻撃を被った
—
ウクライナの拠点から始まりTNT全域が感染
—
7月中旬時点で:
非常事態計画を発動しなんとかサービスを復旧
システムの完全復旧の見通し立たず
参考:FedEx Files 10-K with Additional Disclosure on Cyber-Attack Affecting TNT Express Systems
http://investors.fedex.com/news-and-events/investor-news/news-release-details/2017/FedEx-Files-10-K-with-Additional-Disclosure-on-Cyber-Attack-Affecting-TNT-Express-Systems/default.aspx
被害: 3億ドル
(復旧費用を含む)
売上:
69.1億ユーロ
NotPetya被害: Merck社
米国に本拠を置く製薬会社
売上: 395億ドル、従業員数: 7万人
6月27日にサイバー攻撃を被った
—
製造,R&D, 販売の各部門で操業に影響
—
1ヶ月で梱包は復旧できたが,調剤は復旧途上
—
一部の原薬製造は復旧までに半年以上の見通し
—
売れ筋商品の出荷を確保して売上への影響を回避
参考:四半期決算報告書(Financial Outlook部分を参照)
http://www.mrknewsroom.com/news-release/corporate-news/merck-announces-second-quarter-2017-financial-results
無防備にインターネットに接続していたことで感染したとみられる機器の一例
JPCERT/CCが持つ定点観測システムTSUBAMEにて観測した
Telnet(Port23/TCP)のScanパケットの送信元を調査したところ、
再生可能エネルギーのモニタリング装置が見つかった
➢
推測される利用環境
固定IPアドレスを使用
➢
設置場所は不明
組み込みLinux
➢
状況
SHODANで検索可能
マルウエアに感染
踏み台として悪用されている
主な問題
➢
攻撃者に辞書攻撃を受け、機器に侵入されていた
リモート管理用にTelnetをサポートしている
➢
ローカル環境での利用を想定した機器をインターネットに
直結していた
製品ベンダはローカルエリアでの運用を推奨している
送信元IPアドレスのWebサーバで表示される
発電量画面(イメージ)
○○発電モニタリング
現在の発電:△△kW
総量:□□kWh
データ
設定
・・・
制御システムにおける
脆弱性の動向
米国ICS-CERTが公表した脆弱性アドバイザリ数
2017年(CY)は
アドバイザリ: 189件
(うち16件は医療用機器)
アラート: 9件
引用: ICS-CERT Annual Vulnerability Coordination Report 2016
https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/NCCIC_ICS-CERT_FY%202016_Annual_Vulnerability_Coordination_Report.pdf
ICS関連の脆弱性の動向
公表された脆弱性の9割は
公表前に調整されている
—
報告者、開発者と脆弱性
情報を適切に取り扱い、
アップデート情報とともに
情報を公開している
脆弱性のカテゴリ別内訳で
筆頭に挙げられる
—
バッファオーバーフロー(34%)
—
入力検証の不備(7%)
—
クロスサイトスクリプティング(5%)
ベンダーが自らICS-CERTに報告する事案の割合が増加
引用: ICS-CERT Annual Vulnerability
Coordination Report 2016
懸念されるICS関連の脆弱性:
継承される脆弱性
ICSベンダー自身が作り込んだわけではないが上流から継承される脆弱性がある
SpectreとMeltdown:プロセッサの脆弱性
—
読めないように管理されているはずのメモリ領域が見える
ICS-ALERT-18-011-01B (
https://ics-cert.us-cert.gov/alerts/ICS-ALERT-18-011-01B
)
WiFiに対するKrack攻撃
(
https://www.krackattacks.com/
)
OPC-UAプロトコル・スタックの脆弱性
—
Siemens社は脆弱性を報告しているが他のベンダーは影響を受けないのか?
ICSA-17-243-01B (
https://ics-cert.us-cert.gov/advisories/ICSA-17-243-01B
)
ソフトウェア・ライセンス管理用USB
(SafeNetセンチネル)
の
脆弱性
—
14件の脆弱性:挿入されたPCが脆弱な状態になる
ICSA-17-243-01B (
https://ics-cert.us-cert.gov/advisories/ICSA-17-243-01B
)
懸念されるICS関連の脆弱性:
産業用ロボット
これまでのICS用機器と同様に多数の脆弱性が潜在して
いる(サプライチェーンの上流から継承している)と
推測される
注意を喚起する報告書
—
IOActive: Hacking Robots Before Skynet
https://ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf
—
TripWire: More than 90% of IT Pros Expect More Attacks,
Risk, and Vulnerability with IIoT in 2017
https://www.tripwire.com/state-of-security/featured/90-pros-expect-attacks-risk-vulnerability-iiot-2017/
ICS用モバイルアプリケーションが普及する中、脆弱性
に関する報告書が公開された
https://ioactive.com/pdfs/SCADA-and-Mobile-Security-in-the-IoT-Era-Embedi-FINALab%20(1).pdf
—
報告書では34社のICS用モバイルアプリケーションを
ランダムに選んで試験した結果がまとめられている
147件の脆弱性を発見
懸念されるICS関連の脆弱性:
モバイルアプリケーション
引用:SCADA And Mobile Security In The Internet Of Things Era
ブログによる公開
インターネットから接続可能な日本の制御システムが
ブログ記事(中国語)で公開される
➢
公開されていたシステムの状況
インターネットから Web インターフェースにアクセス可能
インターネットから PLC のポートに到達可能
➢
別の記事でPoCコード(概念実証コード)が公開
➢
その後、脆弱性を持つ機器の探索を目的としたスキャン
パケットを確認
考えられる
ブログ記事の抜粋
セキュリティに関する対応を
行う上での課題
ユーザが利用するシステムがマルウエアに感染したり、
脆弱性が発見されたりしたとき、誰がどのように対応するのか
➢
ユーザがシステムの設定変更等を行えば対応可能なのか
➢
SIベンダの保守で対応可能なのか
➢
販社のサポートセンターへの問い合わせで対応可能なのか
➢
製品ベンダが機能追加やパッチ等で対応する必要があるのか
➢
それぞれの契約の範囲はどのようになっているか
業界全体で対応を検討していく必要がある
➢
サイバー攻撃を受けることを前提とした仕組みへの切り替え
製品
ベンダ
ベンダ
製品
販社
販社
サプライチェーンの問題
製品
ベンダ
販社
ベンダ
SI
ユーザ
製品開発
営業
技術研究
サポートセンター
営業
システム開発
営業
運用保守
利用者
運用管理
システムA
流通の流れ
対応の流れ
組織内での部門連携の問題
セキュリティに関する情報が外部から届いたら・・・
➢
セキュリティ担当者が直接外部からの情報を受け取る
ケースは少ない
➢
情報を受け取った人が適切な部署に情報を展開する
必要がある
情報のトリアージ
➢
さらに内容によって組織内の
様々な部門との連携が必要
製品に関する対応
ユーザへの対応
メディアへの対応
発見者への報告 etc
組織A
設計
営業
開発
広報
研究
1:連絡
2:一次受け
3:情報の展開
発見者
4:連携、対応
4:連携、対応
5:フィードバック
3:第一報
6:フィードバック
深刻な事案が少ない今のうちから
セキュリティを経営課題として
とらえ、取り組んでいくことが重要
脆弱性の対応例
機器のIPアドレスから調査したWhois情報は多くの場合、
ISPまでしか特定できない
➢
法律上の問題(通信の秘密)によってインシデント発生前に
ユーザ(アセットオーナ)を特定することが難しい
製品を特定し製品ベンダに連絡したとしても対応が
限られる
➢
ユーザ(アセットオーナ)の特定、(製品の範囲での)対策の実施が難しい
JPCERT/CCがインシデント未然防止活動を行う上での課題
製品
ベンダ
ベンダ
SI
ユーザ
ISP
JPCERT/CC
検索サービス等
Whois情報
製品情報
・管理用Web UI
・制御系プロトコル
セキュリティ対策のエコシステムへの課題
1
1
1
1
ISP事業者
被害組織
ベンダ(国内・海外)
設置事業者・販売店
ユーザ・管理者
ファームウエアの
アップデート開発
課題:
・使用可能な機能を制限す
ることは対処しづらい
・OEM製品の場合、自社に
よる対応が困難
アップデートや機器の
復旧方法のアナウンス
課題:販売先、設置先管
理まで面倒は見られない
ファームウエアのアップデート実施
課題:
・そもそも感染に気付けない
・自らは被害者ではないので、対策
をとるインセンティブがない
脆弱性などのある機器の特定
課題:ネットワーク上の機器の
状態を認知することが困難
インシデント対応支援
課題:被害組織や原因が必ず
特定できるわけではない
被害への対応
課題:影響範囲の特定
や対策の実施には時間
がかかる
お互いの立場や範囲を理解し、
協力していくことが重要!
Controller I/O Controller I/O App server Maint server Data server File/Print server Data server App server HMI EWS Laptop Router FW FW