制御システムセキュリティの現実

Size: px

Start display at page:

Download "制御システムセキュリティの現実"

ともなりさだい
5 years ago
Views:

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :37:07 +09'00' 制御システムセキュリティの現実株式会社サイバーディフェンス研究所福森大喜

2 自己紹介福森大喜株式会社サイバーディフェンス研究所上級分析官ペンテストマルウェア解析インシデントレスポンス等々 NEDO 米国ニューメキシコ州における日米スマートグリッド実証 NEDO ハワイにおけるスマートグリッド実証事業 NEDO : 独立行政法人新エネルギー産業技術総合開発機構本日お話する内容は両事業とは関係ありません

NEDO スマートグリッド実証 @ ニューメキシコ (Ⅰ) ロスアラモス郡におけるマイクログリッド実証 2~5MW 程度の配電線において PV 及び蓄電池を集中的に導入し

高い信頼性を有する配電系統の構築実証 (Ⅱ) ロスアラモス郡におけるスマートハウス実証 PV 蓄電池蓄熱機器 IT 家電といった需要家機器

アルバカーキ市における商業地域マイクログリッド実証自立運転可能なビル (600kW 程度 ) 需要地システムを蓄電池ガスエンジンコージェネ燃料電池蓄熱槽 PV(100kW 程度 )

スマートグリッド全体とりまとめ研究 ⅱ)PV 等分散電源の評価 ⅲ) 単独運転検出装置など分散電源保安技術に関する検討 ⅳ) サイバーセキュリティ及び情報通信技術の研究 ⅴ) モデル

3 NEDO ニューメキシコ (Ⅰ) ロスアラモス郡におけるマイクログリッド実証 2~5MW 程度の配電線において PV 及び蓄電池を集中的に導入し配電線の系統構成を切換えることにより PV 導入比率を変えることの可能な配電線にて PV 変動吸収を可能とする EMS と情報通信技術の構築実証スマート配電機器を導入し高い信頼性を有する配電系統の構築実証 (Ⅱ) ロスアラモス郡におけるスマートハウス実証 PV 蓄電池蓄熱機器 IT 家電といった需要家機器スマートメータ技術とリアルタイムプライシングを組み合わせた EMS 宅内宅外通信システムを有するスマートハウスの構築一般住宅と比較し効果を実証 (Ⅲ) アルバカーキ市における商業地域マイクログリッド実証自立運転可能なビル (600kW 程度 ) 需要地システムを蓄電池ガスエンジンコージェネ燃料電池蓄熱槽 PV(100kW 程度 ) 等により構築し高い信頼性を有する供給体制を実証配電系統内に設置された PV の変動をビル側 EMS と系統側 EMS を連系することにより吸収できることを実証 (Ⅳ) 全体総括研究 ⅰ) スマートグリッド全体とりまとめ研究 ⅱ)PV 等分散電源の評価 ⅲ) 単独運転検出装置など分散電源保安技術に関する検討 ⅳ) サイバーセキュリティ及び情報通信技術の研究 ⅴ) モデルシミュレーション開発 ⅵ) 全体総括研究参照 : Copyright 2011 Cyber Defense Institute, Inc. All rights reserved. 写真提供 :SHIMIZU NORTH AMERICA, LLC

電圧変動や低圧変圧器の過負荷などの影響を緩和しまた上位系統と協調運転が可能な DMS(Distribution Management System: 配電用変電所レベル ) を構築し有効性を実証 3.

4 NEDO ハワイ 1. マウイ島における EV を活用した離島型スマートグリッド実証再生可能エネルギーの出力変動により顕著化している周波数への影響などの電力系統への影響を緩和するための EV 充電および電力系統内に設置した蓄電池を制御する EVMS(EV Management System) を構築し有効性を実証 2. Kihei 地区における 1 配電用変電所レベルのスマートグリッド実証全米共通の課題である配電系統の信頼性向上を目的として太陽光発電 ( 以下 PV という ) EV が導入された配電線において電圧変動や低圧変圧器の過負荷などの影響を緩和しまた上位系統と協調運転が可能な DMS(Distribution Management System: 配電用変電所レベル ) を構築し有効性を実証 3. 低圧系統 (1 低圧変圧器レベル ) におけるスマートグリッド実証 PV EV が導入された低圧系統 ( 低圧変圧器レベル ) において低圧変圧器の過負荷などの影響を緩和しその上位の DMS と協調運転が可能な μ DMS( 低圧変圧器レベル ) を構築し実証 4. 全体総括研究全体総括研究を米国と連携して本実証事業の効果分析経済性評価ビジネスモデル構築検証を実施サイバーセキュリティの研究含む参照 : Copyright 2011 Cyber Defense Institute, Inc. All rights reserved.

5 本日お話しする領域

6 大きく分けて PLC との通信に関わる脆弱性 HMI 上のサーバに関する脆弱性スマートメーターに関する脆弱性

7 PLC (Programmable Logic Controller) フィールド機器 ( バルブポンプライトモーターロボットアーム etc) とやり取りをする IO を読み取る命令を送る HMI HMI からの命令により動く認証は ( ほとんど ) ない PLC 引用元 :

8 よく使われるプロトコル Modbus DNP3 ICCP Ethernet/IP Profibus / Profinet BACNet 独自プロトコル

9 Modbus の仕様 ( リクエスト ) bit count transaction id protocol id length unit id function reference number

10 Modbus の仕様 ( レスポンス ) 値が Off から On に切り替わった

11 Modbus サーバへのアクセス正規のユーザ読み取り / 書き込み要求 PLC Modbus クライアント ( マスター ) 攻撃者結果読み取り / 書き込み要求結果 port:502 Modbus サーバ ( スレーブ )

12 Modbus サーバの脆弱性サーバ (port 502) へ不正なパケットを送ることで任意のコマンドを実行可能

13 Modbus クライアントの脆弱性実際よりも長い length を指定することでクラッシュ

14 PLC によくある脆弱性 HTTP サーバの脆弱性 ( デフォルトパスワード認証バイパス XSS CSRF) Telnet サーバの脆弱性 ( デフォルトパスワードメンテナンス用アカウント ) (T)FTP サーバの脆弱性 ( 認証なしで機密ファイルにアクセス ) バッファオーバーフロー Modbus 等のパケットパースエラー ICMP のハンドリング

15 HMI (Human Machine Interface) PLC を操作するためのインターフェース PLC にアクセスし情報を取得見やすい形に加工して表示入力や値の変化に応じて PLC に命令を出す HMI PLC 引用元 :

16 使われ続けるデフォルト設定

17 バッファオーバーフローにより任意のコマンドを実行可能 HMI の例

18 制御システムにおけるバッファオーバーフローの特徴多くのケースで任意のコマンド実行が可能 OS コンパイラが提供するセキュリティオプションが無効になっていることが多いアプリケーションがクラッシュするだけでも問題 ( 制御システムは可用性が最も重要 )

19 問題が起こりやすい場所 Webサーバ FTPサーバ SQLサーバ ODBC 接続独自プロトコルのサーバ

20 SQL インジェクション (?) in AJAX SQL コマンド結果

21 SQL インジェクション (?) in サーバポートに接続 SQL コマンド発行結果 SQL コマンド発行

22 ディレクトリトラバーサル in Web サーバその 1 サーバ上のファイルを読み出し

23 ディレクトリトラバーサル in Web サーバその 2 サーバ上のファイルを読み出し

24 ディレクトリトラバーサル in FTP サーバ FTP で接続ユーザ名は何でも通るディレクトリトラバーサル取得成功

25 GE 製品にも同様の脆弱性 CVE GE Fanuc Proficy Real-Time Information Portal

7-Technologies (7T) IGSS Data Server がバッファオーバーフローによりクラッシュする脆弱性 UCQ による届け出 ICSA-11-335-01

26 7-Technologies (7T) IGSS Data Server がバッファオーバーフローによりクラッシュする脆弱性 UCQ による届け出 ICSA 確保されたバッファより大きなデータが書き込まれた際に発生する

27 独自プロトコルで通信 n 長さ不明不明コマンド不明不明不明操作引数コマンド一覧 Request Online Request Log Request BCL Request HDM Request ELM Request CMDSTAT Request RMS Request STDREP Request ALM Request ALMTXT Request USERS Request DESCR Request general file Request alarm Note ファイルの操作一覧 ListAll Write file ReadFile Delete Rename FileInfo

28 IGSS Data Server (ICSA の脆弱性 )

29 発想 strcpy は対策したようだ sprintf 系を見落としているのでは? strcpy の危険性については詳しく解説しているがその他の関数についてはそれほど説明が無い JPCERT/CC が提供する CERT セキュアコーディングスタンダード日本語訳より抜粋

30 パスワードリセット

31 その他の仕様ポートに接続すればファイル取得編集レポート入手等の命令発行が可能とあるキーを入力するとデバッグモードに移行

32 クライアント側の脆弱性 ActiveX ファイルの読み込みクライアント HMI PLC

33 ActiveX クライアント PC に実行ファイルがインストールされる Web サーバにアクセスした際に呼び出されるどの Web サーバからでも呼び出すことが可能

34 誰でも攻撃用 Web サーバを用意できる

35 仕様で実装されていた命令 WriteTextData() OpenTextFile() CreateProcess() adduser() SetIpAddress() SendCmd() SDFileDelete()

36 BACnet OPC クライアントでのファイルの読み込み Exploit コード

37 スマートメーター電気メーターをデジタル化検針作業を効率化電力消費量をグラフ化供給計画の効率化遠隔で操作

38 スマートメーターに存在した脆弱性暗号化されていない通信認証のないデータアクセス電力消費量分析によるプライバシー問題何秒ごとにデータを送るかメーターの数値を書き換える耐タンパー性 ICMPのハンドリング

39 間違いだらけの Stuxnet 対策

40 Stuxnet に対するよくある誤解攻撃者サーバがダウンしているので解析できないポート80 番で通信するので危険危険外部との通信を遮断 ( または警戒 ) する必要がある出口対策重要 Step7/WinCCの脆弱性が使われた PLCの脆弱性が使われた

41 外部との通信はアップデート用にすぎないマレーシアとデンマークのサーバ基本機能はすでにある出口対策では防げない犯人の目的は情報搾取ではなく破壊活動

42 攻撃された場所 Step7 PLC Profibus-DP WinCC S S7-417

43 WinCC SQL のデフォルトパスワードを使って感染を広げる複数存在する感染手段のひとつにすぎない

44 MC7 のバイトコードまで熟知されていた MC7 バイトコードは CPU ごとに異なる攻撃対象の環境が熟知されていた (S , S7-417, Profibus) ことも問題

45 まとめ制御システムのセキュリティは10 年前の状況 ( 失われた10 年 ) 攻撃に難しいExploitは必要ないまずはセキュリティの存在を知ることから Windows 環境が標的起点になることが多い緩和策を検討しつつ少しずつ認証暗号化の検討を制御システムエンジニアはセキュリティを知る必要があるセキュリティエンジニアは制御システムを知る必要がある

46 ご清聴ありがとうございましたお問い合わせはこちらまで cyberdefense.jp

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team