制御システムに関する最近の脅威と JPCERT/CC の取り組み 2018年03月10日 JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 阿部 真吾

Transcription

1 制御システムに関する最近の脅威と JPCERT/CC の取り組み 2018年03月10日 JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 阿部 真吾

2 アジェンダ はじめに JPCERT/CCの紹介制御システムにおけるサイバー脅威の傾向制御システムにおける脆弱性の動向セキュリティに関する対応を行う上での課題おわりに 2

3 はじめに 3

4 インシデントとは ( コンピュータセキュリティ ) インシデントとは コンピュータセキュリティに関わる事象 ( 事件 事故 ) 顧客情報の入った USB メモリを紛失した 機密情報を SNS にアップしてしまった システムの不具合で生産 製造ラインが停止してしまった サイバー攻撃によってウェブサイトが改ざんされたマルウエアに感染し情報を盗まれた ウェブサイト改ざんによる被害の流れ ( 一例 ) 攻撃者 改ざん Web マルウエア 閲覧者 情報や金銭 4

5 インシデントが発生してしまったとき 想定される影響 金銭的な被害 情報漏えいによる損害 生産停止による損害 ウェブサイト停止による機会損失 セキュリティ対応コストの増加 ブランドイメージへの影響 他組織への被害 ( 感染 ) 拡大 etc 漏えい人数インシデント件数想定損害賠償総額一件あたりの漏えい人数一件あたり平均想定損害賠償額一人あたり平均想定損害賠償額 496 万 0063 人 799 件 2541 億 3663 万円 6578 人 3 億 3705 万円 2 万 8020 円 引用 :JNSA, 2015 年情報セキュリティインシデントに関する調査報告書 速報版 5

6 サイバー攻撃の対象となりうるモノの例 組織に存在する IT 機器 システム 以前からあるもの サーバ類 ( ウェブサーバ DB サーバ ファイルサーバ ) パソコン類 ( サーバ用 PC 業務用 PC 持出 PC) ルータ ここ数年になって出てきたもの 複合機 ネットカメラ NAS テレビ会議システム より最近出てきたもの 遠隔監視システム スマート化されたフィールド機器 6

7 操業 運転への影響 操業の停止 完全停止 ( 自動復旧できない ) 一時停止して再起動 誤動作 生産物 / サービスの異常 生産物の品質が下がる 施設または環境の破壊や人的被害 工場の一部が破壊される 従業員がけがをする 情報漏えい 操業上の秘密情報が漏えいする 被害に遭ったときに受ける影響が非常に大きい 7

8 攻撃者の分類 攻撃の目的をもとに攻撃者を分類すると それぞれの攻撃手法や技術力が異なることが推察できる 愉快犯 / ハクティビスト金銭目的の攻撃者標的型攻撃の実行者 攻撃の目的 - 政治的な主張 - 技術力のアピール - 金銭の獲得 ( 不正送金 ) - 標的とする組織内の重要情報窃取やシステム破壊 主な攻撃手法 - Web サイトに対する DoS - 政治的な主張を目的とする Web サイトの改ざん - SNS アカウント乗っ取り -Web サイト改ざんによるマルウエアの配布 - マルウエアが添付されたメールの送付 - Web サイト改ざんによるマルウエアの配布 ( ただし攻撃対象のみに限定 ) 技術力 高 低 JPCERT/CC にて独自に分類 8

9 JPCERT コーディネーション センターの紹介 9

10 JPCERT/CC とは 一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team / Coordination Center コンピュータセキュリティインシデントへの対応 国内外にセンサをおいたインターネット定点観測 ソフトウエアや情報システム 制御システム機器等の脆弱性への対応など国内の セキュリティ向上を推進する活動 を実施 サービス対象 : 日本国内のインターネット利用者やセキュリティ管理担当者 ソフトウエア製品開発者等 ( 主に 情報セキュリティ担当者 ) インシデント対応をはじめとする 国際連携が必要なオペレーションや情報連携に関する 日本の窓口となる CSIRT 各国に同様の窓口となる CSIRT が存在する ( 例 米国の US-CERT, CERT/CC, 中国の CNCERT, 韓国の KrCERT/CC) 経済産業省からの委託事業として サイバー攻撃等国際連携対応調整事業を実施 10

11 JPCERT/CCをご存知ですか JPCERT/CCの活動 インシデント予防 インシデントの予測と捕捉 発生したインシデントへの対応 脆弱性情報ハンドリング 情報収集 分析 発信 インシデントハンドリング 定点観測 TSUBAME インシデント対応調整支援 未公開の脆弱性関連情報を製品開発者 へ提供し 対応依頼 関係機関と連携し 国際的に情報公開 日を調整 セキュアなコーディング手法の普及 制御システムに関する脆弱性関連情報 の適切な流通 早期警戒情報 CSIRT構築支援 マルウエアの接続先等の攻撃関連 サイト等の閉鎖等による被害最小化 攻撃手法の分析支援による被害可能性 の確認 拡散抑止 再発防止に向けた関係各関の情報交換 及び情報共有 重要インフラ 重要情報インフラ事業者等の特定組織向け情報発信 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築 運用支援 制御システムセキュリティ 制御システムに関するインシデントハンドリング/情報収集,分析発信 アーティファクト分析 マルウエア 不正プログラム 等の攻撃手法の分析 解析 国内外関係者との連携 日本シーサート協議会 フィッシング対策協議会の事務局運営等 国際連携 11 ネットワークトラフィック情報の収集 分析 セキュリティ上の脅威情報の収集 分 析 必要とする組織への提供 各種業務を円滑に行うための海外関係機関との連携

12 JPCERT/CC ICSR について 制御システムセキュリティ対策グループ ICSR : Industrial Control Systems security Response group 2012 年夏 JPCERT/CC 内に本格的に 制御システムセキュリティ対策 を扱う専門部隊を立ち上げ 主な業務は以下 1. ICS インシデント報告の受け付け 対応支援 2. ICS 関連製品の脆弱性情報ハンドリング 3. ICS セキュリティ関連の情報収集 分析 情報提供 4. 自己評価ツール (J-CLICS/SSAT) の提供 5. ICS アセスメントサービス 6. 普及啓発活動 外部連携 制御システムセキュリティカンファレンスの開催 コミュニティの運営 7. 調査研究など 米国では 制御システムを専門に扱う ICS-CERT(2009 年より活動開始 ) が存在する 12

13 インシデント未然防止活動 インターネットに無防備に接続された ICS 機器が悪用され将来的なインシデントに繋がらないよう 未然防止の観点から利用者に対して通知を行っている 設定の見直し セキュリティ意識の向上を目的としている 通知方法 電子メール通知先 Whois 情報の管理者連絡窓口もしくは技術連絡担当者 過去の通知先通知内容 インターネットに公開されているプロトコル 稼働しているとみられる製品の情報 想定される脅威 etc 13

14 インターネットに接続された機器の検索 インシデント未然防止活動 SHODAN ZoomEyeなどの検索サービス インターネットに接続された機器に対して様々な リクエストを送信し そのレスポンスをデータベース化した Webサービス Modbus/TCPやEtherNet/IPといった一般的なプロトコル だけでなく 特定のPLCが利用するプロトコル HMIなど制御システム内のアプリケーションが利用する プロトコルなどへの対応(機能追加)が進んでいる 新たな検索サービスも登場している SHODAN ZoomEye censys ICSfind 14 引用 ustrial-control-systems

15 SHODAN 等の検索サービスを利用した調査 インシデント未然防止活動 バナー情報や IP アドレスから様々な情報が特定できる 製品ベンダ名 製品型番 ( ソフトウエア ファームウエア等の ) バージョン Whois 情報 SHODAN で得られるバナー情報 15

16 ICSR が発信している制御システム関連情報 ニュースレター 月刊で発行 メーリングリストにて配布 脅威事例 セキュリティニュース ICS-CERT 情報 etc ICS セキュリティ情報共有ポータルサイト (ConPaS) 米国 ICS-CERT が公表した情報の抄訳 過去に発行したニュースレターや参考情報 セキュリティ関連ガイドラインや基準等の邦訳の掲載 ニュースクリップ etc 自己評価ツール 日本版 SSAT(SCADA Self Assessment Tool) J-CLICS 詳細は以下をご覧ください 16

17 制御システムにおける サイバー脅威の傾向 17

18 ICS-CERTインシデント統計 ICS-CERTのインシデント統計によると インシデント報告は増加傾向にある 米ICS-CERTインシデント統計 米会計年度別 インシデント報告件数 ICS-CERTの のデータを元にJPCERT/CCにて作成 ただし これらの多くは情報系への影響のみで 制御システムにまで影響が及んだインシデントはごく一部と思われる 18

19 ICS を狙って作られたマルウエア マルウエア名報告年概要 Stuxnet 2010 Havex (DragonFly, EnergeticBear, CrouchingYeti) 2014 BlackEnergy BlackEnergy Industroyer (CrashOverRide) HatMan (Triton, Trisis) イランのウラン濃縮工場の遠心分離機に異常な回転をさせて破壊 制御ベンダの Web サイトを改ざんし制御機器用のソフトウエアにマルウエアを仕込む OPC 関連情報を収集 SCADA の脆弱性を突いて侵入 複数の企業のインターネットに接続された HMI が感染 電力およびその関連業界が感染 ( 情報収集に利用された?) 2015 年末と 2016 年末のウクライナでの停電の前段階で多数の感染 KillDisk を用いて ICS のディスク装置の内容を破壊 年末にウクライナで遮断機を動かし停電を引き起こした 2017 Schneider 社製安全計装コントローラのプログラムを改竄 監視していた設備が緊急停止 19

20 停電を引き起こした Industroyer ウクライナの電力網に対するサイバー攻撃に使用されたとみられるマルウエア ESET 社のレポート Dragos 社のレポート 特徴 電力供給システムや輸送システムで使われるプロトコルを悪用 IEC IEC IEC OPC DA 等 変電所のスイッチやブレーカを制御可能だった 機能がモジュール化されているため標的とする地域やインフラに合わせた改変が容易 20

21 安全計装を狙った Hatman Schneider 社製の安全計装システム Triconex を狙ったマルウエア FireEye 社の解説記事 ICS-CERT のレポート 01%20HatMan%E2%80%94Safety%20System%20Targeted%20Malware_S508C.pdf 概要 2017 年 8 月 4 日に中東の企業で Triconex の自己検証機能が異常を検知し 監視していた設備が緊急停止 その後の調査でマルウエア HatMan が見つかり 12 月中旬に公表 21

22 HatMan の動作概要 エンジニアリングワークステーション等から設定用アプリケーションになりすましてコントローラに攻撃用スクリプトを注入し それを起動する コントローラに注入されたスクリプトによりコントローラの状態の偵察などを行う ( 潜在的には改ざんも可能 ) 引用 : 22

23 Hatman における考察 安全計装システムが改ざんされても甚大な災害には直結しないが 異常がないのに緊急停止 異常があっても見過ごされる といった事態が懸念される コントローラの設定変更を禁止する キー が備わっているが 切り替えて厳格運用しているか? 侵害され無効化される可能性 引用 : 23

24 ランサムウエアの大流行と ICS そもそも ICS を狙って開発されたわけではない システムを復旧させて欲しければ身代金を支払え! 身代金を払っても システムを復旧できるとは限らないランサムウエアにもバグがある破壊型のマルウエアが ランサムウエア に見せかけるケースも ICS が感染すれば 操業の停止や復旧コスト等 企業の業績に響くような被害にも発展する バックアップが無いために復旧に手間取るケースもある 24

25 ランサムウエアの大流行と ICS への影響 米国 NSA から流出したとされる Server Message Block(SMB) の脆弱性を突く攻撃コードが組み込まれたことにより強い感染力を獲得した WannaCry と NotPetya 時期 記事 2016 年ランサムウエア攻撃が増加 ( 前年比 5 割増 ) 2017 年 3 月 Server Message Block の脆弱性情報の公表 2017 年 5 月 ランサムウエア WannaCry 攻撃 1 日で 150 ヶ国の 23 万台に感染 2017 年 5 月 Marcus Hutchins 氏が kill switch を発見 2017 年 6 月 破壊型マルウエア NotPetya 攻撃ウクライナ国内の 1.25 万台を攻撃その後に少なくとも 64 ヶ国に感染拡大 北朝鮮による攻撃? ロシアによる対ウクライナ攻撃? 25

26 世界的に大きな影響を与えた WannaCry ワーム機能を備えたランサムウエア 特徴 ワーム機能を備えたランサムウエア内部 外部ネットワークへの感染拡大を行う秒間 パケット送信 感染拡大には SMB(MS で修正 ) の脆弱性を悪用する EternalBlue と呼ばれるツール KillSwitch と呼ばれる動作を制御する機能が存在するこの機能が存在しない亜種もある主な被害 欧州の自動車工場では操業を停止した事例がある 26

27 業績にも影響を与えた NotPetya システムを破壊してしまうマルウエア 特徴 ネットワーク内への感染拡大を行う SMB(MS で修正 ) の脆弱性の悪用する 認証情報を摂取するツールを使用する MBR を書き換える (OS が起動不可 ) 主な被害 豪州のチョコレート工場で操業が 1 日停止 欧州の物流会社 米国の製薬会社では業績にまで影響 27

28 NotPetya 被害 : FedEx 社 米国に本拠を置く物流企業売上 : 503 億ドル 従業員数 : 40 万人 2016 年 5 月に買収した欧州の TNT Express で 6 月 27 日にランサムウエア攻撃を被った ウクライナの拠点から始まり TNT 全域が感染 7 月中旬時点で : 非常事態計画を発動しなんとかサービスを復旧 システムの完全復旧の見通し立たず 売上 : 69.1 億ユーロ 被害 : 3 億ドル ( 復旧費用を含む ) 参考 :FedEx Files 10-K with Additional Disclosure on Cyber-Attack Affecting TNT Express Systems Additional-Disclosure-on-Cyber-Attack-Affecting-TNT-Express-Systems/default.aspx 29

29 NotPetya 被害 : Merck 社 米国に本拠を置く製薬会社売上 : 395 億ドル 従業員数 : 7 万人 6 月 27 日にサイバー攻撃を被った 製造,R&D, 販売の各部門で操業に影響 1ヶ月で梱包は復旧できたが, 調剤は復旧途上 一部の原薬製造は復旧までに半年以上の見通し 売れ筋商品の出荷を確保して売上への影響を回避 参考 : 四半期決算報告書 (Financial Outlook 部分を参照 ) 30

30 無防備にインターネットに接続していたことで感染したとみられる機器の一例 JPCERT/CC が持つ定点観測システム TSUBAME にて観測した Telnet(Port23/TCP) の Scan パケットの送信元を調査したところ 再生可能エネルギーのモニタリング装置が見つかった 推測される利用環境固定 IP アドレスを使用 設置場所は不明組み込み Linux 状況 SHODAN で検索可能マルウエアに感染踏み台として悪用されている 発電モニタリング データ設定 現在の発電 : kw 総量 : kwh 送信元 IP アドレスの Web サーバで表示される発電量画面 ( イメージ ) 主な問題 攻撃者に辞書攻撃を受け 機器に侵入されていたリモート管理用に Telnet をサポートしている ローカル環境での利用を想定した機器をインターネットに直結していた製品ベンダはローカルエリアでの運用を推奨している 30

31 制御システムにおける 脆弱性の動向 31

32 米国 ICS-CERT が公表した脆弱性アドバイザリ数 2017 年 (CY) はアドバイザリ : 189 件 ( うち 16 件は医療用機器 ) アラート : 9 件 引用 : ICS-CERT Annual Vulnerability Coordination Report CERT_FY%202016_Annual_Vulnerability_Coordination_Report.pdf 32

33 ICS 関連の脆弱性の動向 公表された脆弱性の 9 割は公表前に調整されている 報告者 開発者と脆弱性情報を適切に取り扱い アップデート情報とともに情報を公開している脆弱性のカテゴリ別内訳で筆頭に挙げられる バッファオーバーフロー (34%) 入力検証の不備 (7%) クロスサイトスクリプティング (5%) 引用 : ICS-CERT Annual Vulnerability Coordination Report 2016 ベンダーが自ら ICS-CERT に報告する事案の割合が増加 33

34 懸念される ICS 関連の脆弱性 : 継承される脆弱性 ICS ベンダー自身が作り込んだわけではないが上流から継承される脆弱性がある Spectre と Meltdown: プロセッサの脆弱性 読めないように管理されているはずのメモリ領域が見える ICS-ALERT B ( WiFi に対する Krack 攻撃 ( OPC-UA プロトコル スタックの脆弱性 Siemens 社は脆弱性を報告しているが他のベンダーは影響を受けないのか? ICSA B ( ソフトウェア ライセンス管理用 USB(SafeNet センチネル ) の脆弱性 14 件の脆弱性 : 挿入された PC が脆弱な状態になる ICSA B ( 34

35 懸念される ICS 関連の脆弱性 : 産業用ロボット これまでの ICS 用機器と同様に多数の脆弱性が潜在している ( サプライチェーンの上流から継承している ) と推測される 注意を喚起する報告書 IOActive: Hacking Robots Before Skynet TripWire: More than 90% of IT Pros Expect More Attacks, Risk, and Vulnerability with IIoT in

36 懸念される ICS 関連の脆弱性 : モバイルアプリケーション ICS 用モバイルアプリケーションが普及する中 脆弱性に関する報告書が公開された 報告書では 34 社の ICS 用モバイルアプリケーションをランダムに選んで試験した結果がまとめられている 147 件の脆弱性を発見 引用 :SCADA And Mobile Security In The Internet Of Things Era 36

37 ブログによる公開 インターネットから接続可能な日本の制御システムがブログ記事 ( 中国語 ) で公開される 公開されていたシステムの状況 インターネットから Web インターフェースにアクセス可能 インターネットから PLC のポートに到達可能 別の記事で PoC コード ( 概念実証コード ) が公開 その後 脆弱性を持つ機器の探索を目的としたスキャンパケットを確認考えられる ブログ記事の抜粋 37

38 セキュリティに関する対応を 行う上での課題 38

39 サプライチェーンの問題 ユーザが利用するシステムがマルウエアに感染したり 脆弱性が発見されたりしたとき 誰がどのように対応するのか ユーザがシステムの設定変更等を行えば対応可能なのか SI ベンダの保守で対応可能なのか 販社のサポートセンターへの問い合わせで対応可能なのか 製品ベンダが機能追加やパッチ等で対応する必要があるのか それぞれの契約の範囲はどのようになっているか 業界全体で対応を検討していく必要がある サイバー攻撃を受けることを前提とした仕組みへの切り替え 製品ベンダ 販社 流通の流れ SI ベンダ ユーザ システム A 営業 対応の流れ 営業 運用管理 製品開発 営業 運用保守 利用者 技術研究 サポートセンター システム開発 39

40 組織内での部門連携の問題 セキュリティに関する情報が外部から届いたら セキュリティ担当者が直接外部からの情報を受け取るケースは少ない 情報を受け取った人が適切な部署に情報を展開する必要がある 情報のトリアージ さらに内容によって組織内の様々な部門との連携が必要 製品に関する対応 ユーザへの対応 メディアへの対応 発見者への報告 etc 脆弱性の対応例 組織 A 広報 営業 1: 連絡 発見者 3: 第一報 6: フィードバック 2: 一次受け 3: 情報の展開 深刻な事案が少ない今のうちからセキュリティを経営課題としてとらえ 取り組んでいくことが重要 設計 4: 連携 対応開発 4: 連携 対応研究 5: フィードバック 40

41 JPCERT/CC がインシデント未然防止活動を行う上での課題 機器の IP アドレスから調査した Whois 情報は多くの場合 ISP までしか特定できない 法律上の問題 ( 通信の秘密 ) によってインシデント発生前にユーザ ( アセットオーナ ) を特定することが難しい 製品を特定し製品ベンダに連絡したとしても対応が限られる ユーザ ( アセットオーナ ) の特定 ( 製品の範囲での ) 対策の実施が難しい JPCERT/CC Whois 情報 検索サービス等 製品情報 ISP 管理用 Web UI 制御系プロトコル 製品ベンダ SI ベンダ ユーザ 41

42 セキュリティ対策のエコシステムへの課題 脆弱性などのある機器の特定 ファームウエアのアップデート実施 課題 ネットワーク上の機器の 状態を認知することが困難 課題 そもそも感染に気付けない 被害への対応 課題 影響範囲の特定 や対策の実施には時間 がかかる ISP事業者 1 自らは被害者ではないので 対策 をとるインセンティブがない お互いの立場や範囲を理解し 協力していくことが重要 被害組織 ユーザ 管理者 ファームウエアの アップデート開発 インシデント対応支援 課題 被害組織や原因が必ず 特定できるわけではない 課題 アップデートや機器の 復旧方法のアナウンス 使用可能な機能を制限す ることは対処しづらい OEM製品の場合 自社に よる対応が困難 1 ベンダ(国内 海外) 課題 販売先 設置先管 理まで面倒は見られない 設置事業者 販売店

43 おわりに 43

44 感染経路となりうるポイント インターネット 拠点地区 Server A 地区工場 Laptop EWS Router Laptop EWS Router HMI Web で検索! File/Print server App server Data server FW File/Print server App server Data server Controller I/O Controller I/O HMI B 地区工場 App server Data server Maint server FW Laptop EWS Router HMI 保守用 PC Controller Controller File/Print server App server Data server Controller Controller I/O I/O I/O I/O 44

45 考えられるセキュリティ対策 設計段階 運用段階で考慮すべきセキュリティ 設計段階 ( ベンダ ) セキュリティ機能の実装 ( 認証 暗号化など ) セキュアデザイン セキュアコーディング 運用段階 ( ユーザ ) セキュリティに関する設定 セキュリティパッチの適用異常検知のための継続的なモニタリングセキュリティアセスメント セキュリティソリューションの活用 ホワイトリスト 振る舞い検知 一方向通信制御 ネットワークモニタリング セキュリティスイッチ etc 45

46 まとめ 攻撃者は様々なタイプのマルウエアやツールを組み合わせてサイバー攻撃を仕掛けてくる 制御システムにまで影響が出る事例も増加している 真のエアギャップを担保するのは難しいため 今一度 接続点のセキュリティの見直しを推奨する 気づいたらネットワーク経由 外部メディア経由でデータのやり取りをしていることも考えられる インシデントを防止 軽減するためにも自組織の部門間 同業他社 業界を超えた協力が不可欠 セキュリティに関して何かございましたら JPCERT/CC までご一報ください! 46

47 お問合せ インシデント対応のご依頼は JPCERT コーディネーションセンター Tel: インシデント報告 制御システムインシデントの報告 47

48 ご静聴ありがとうございました 48