制御システムに関する最近の脅威と JPCERT/CC の取り組み 2018年03月10日 JPCERTコーディネーションセンター制御システムセキュリティ対策グループ阿部真吾

アジェンダはじめに JPCERT/CCの紹介制御システムにおけるサイバー脅威の傾向制御システムにおける脆弱性の動向セキュリティに関する対応を行う上での課題おわりに 2

はじめに 3

インシデントとは ( コンピュータセキュリティ ) インシデントとはコンピュータセキュリティに関わる事象 ( 事件事故 ) 顧客情報の入った USB メモリを紛失した機密情報を SNS にアップしてしまったシステムの不具合で生産製造ラインが停止してしまったサイバー攻撃によってウェブサイトが改ざんされたマルウエアに感染し情報を盗まれたウェブサイト改ざんによる被害の流れ ( 一例 ) 攻撃者改ざん Web マルウエア閲覧者情報や金銭 4

インシデントが発生してしまったとき想定される影響金銭的な被害情報漏えいによる損害生産停止による損害ウェブサイト停止による機会損失セキュリティ対応コストの増加ブランドイメージへの影響他組織への被害 ( 感染 ) 拡大 etc 漏えい人数インシデント件数想定損害賠償総額一件あたりの漏えい人数一件あたり平均想定損害賠償額一人あたり平均想定損害賠償額 496 万 0063 人 799 件 2541 億 3663 万円 6578 人 3 億 3705 万円 2 万 8020 円引用 :JNSA, 2015 年情報セキュリティインシデントに関する調査報告書速報版 5

サイバー攻撃の対象となりうるモノの例組織に存在する IT 機器システム以前からあるものサーバ類 ( ウェブサーバ DB サーバファイルサーバ ) パソコン類 ( サーバ用 PC 業務用 PC 持出 PC) ルータここ数年になって出てきたもの複合機ネットカメラ NAS テレビ会議システムより最近出てきたもの遠隔監視システムスマート化されたフィールド機器 6

操業運転への影響操業の停止完全停止 ( 自動復旧できない ) 一時停止して再起動誤動作生産物 / サービスの異常生産物の品質が下がる施設または環境の破壊や人的被害工場の一部が破壊される従業員がけがをする情報漏えい操業上の秘密情報が漏えいする被害に遭ったときに受ける影響が非常に大きい 7

攻撃者の分類攻撃の目的をもとに攻撃者を分類するとそれぞれの攻撃手法や技術力が異なることが推察できる愉快犯 / ハクティビスト金銭目的の攻撃者標的型攻撃の実行者攻撃の目的 - 政治的な主張 - 技術力のアピール - 金銭の獲得 ( 不正送金 ) - 標的とする組織内の重要情報窃取やシステム破壊主な攻撃手法 - Web サイトに対する DoS - 政治的な主張を目的とする Web サイトの改ざん - SNS アカウント乗っ取り -Web サイト改ざんによるマルウエアの配布 - マルウエアが添付されたメールの送付 - Web サイト改ざんによるマルウエアの配布 ( ただし攻撃対象のみに限定 ) 技術力高低 JPCERT/CC にて独自に分類 8

JPCERT コーディネーションセンターの紹介 9

JPCERT/CC とは一般社団法人 JPCERT コーディネーションセンター Japan Computer Emergency Response Team / Coordination Center コンピュータセキュリティインシデントへの対応国内外にセンサをおいたインターネット定点観測ソフトウエアや情報システム制御システム機器等の脆弱性への対応など国内のセキュリティ向上を推進する活動を実施サービス対象 : 日本国内のインターネット利用者やセキュリティ管理担当者ソフトウエア製品開発者等 ( 主に情報セキュリティ担当者 ) インシデント対応をはじめとする国際連携が必要なオペレーションや情報連携に関する日本の窓口となる CSIRT 各国に同様の窓口となる CSIRT が存在する ( 例米国の US-CERT, CERT/CC, 中国の CNCERT, 韓国の KrCERT/CC) 経済産業省からの委託事業としてサイバー攻撃等国際連携対応調整事業を実施 10

JPCERT/CCをご存知ですか JPCERT/CCの活動インシデント予防インシデントの予測と捕捉発生したインシデントへの対応脆弱性情報ハンドリング情報収集分析発信インシデントハンドリング定点観測 TSUBAME インシデント対応調整支援未公開の脆弱性関連情報を製品開発者へ提供し対応依頼関係機関と連携し国際的に情報公開日を調整セキュアなコーディング手法の普及制御システムに関する脆弱性関連情報の適切な流通早期警戒情報 CSIRT構築支援マルウエアの接続先等の攻撃関連サイト等の閉鎖等による被害最小化攻撃手法の分析支援による被害可能性の確認拡散抑止再発防止に向けた関係各関の情報交換及び情報共有重要インフラ重要情報インフラ事業者等の特定組織向け情報発信海外のNational-CSIRTや企業内のセキュリティ対応組織の構築運用支援制御システムセキュリティ制御システムに関するインシデントハンドリング/情報収集,分析発信アーティファクト分析マルウエア不正プログラム等の攻撃手法の分析解析国内外関係者との連携日本シーサート協議会フィッシング対策協議会の事務局運営等国際連携 11 ネットワークトラフィック情報の収集分析セキュリティ上の脅威情報の収集分析必要とする組織への提供各種業務を円滑に行うための海外関係機関との連携

JPCERT/CC ICSR について制御システムセキュリティ対策グループ ICSR : Industrial Control Systems security Response group 2012 年夏 JPCERT/CC 内に本格的に制御システムセキュリティ対策を扱う専門部隊を立ち上げ主な業務は以下 1. ICS インシデント報告の受け付け対応支援 2. ICS 関連製品の脆弱性情報ハンドリング 3. ICS セキュリティ関連の情報収集分析情報提供 4. 自己評価ツール (J-CLICS/SSAT) の提供 5. ICS アセスメントサービス 6. 普及啓発活動外部連携制御システムセキュリティカンファレンスの開催コミュニティの運営 7. 調査研究など米国では制御システムを専門に扱う ICS-CERT(2009 年より活動開始 ) が存在する 12

インシデント未然防止活動インターネットに無防備に接続された ICS 機器が悪用され将来的なインシデントに繋がらないよう未然防止の観点から利用者に対して通知を行っている設定の見直しセキュリティ意識の向上を目的としている通知方法電子メール通知先 Whois 情報の管理者連絡窓口もしくは技術連絡担当者過去の通知先通知内容インターネットに公開されているプロトコル稼働しているとみられる製品の情報想定される脅威 etc 13

インターネットに接続された機器の検索インシデント未然防止活動 SHODAN ZoomEyeなどの検索サービスインターネットに接続された機器に対して様々なリクエストを送信しそのレスポンスをデータベース化した Webサービス Modbus/TCPやEtherNet/IPといった一般的なプロトコルだけでなく特定のPLCが利用するプロトコル HMIなど制御システム内のアプリケーションが利用するプロトコルなどへの対応(機能追加)が進んでいる新たな検索サービスも登場している SHODAN https://www.shodan.io/ ZoomEye https://www.zoomeye.org/ censys https://censys.io/ ICSfind http://icsfind.com/ 14 引用 https://www.shodan.io/explore/category/ind ustrial-control-systems

SHODAN 等の検索サービスを利用した調査インシデント未然防止活動バナー情報や IP アドレスから様々な情報が特定できる製品ベンダ名製品型番 ( ソフトウエアファームウエア等の ) バージョン Whois 情報 SHODAN で得られるバナー情報 15

ICSR が発信している制御システム関連情報ニュースレター月刊で発行メーリングリストにて配布脅威事例セキュリティニュース ICS-CERT 情報 etc ICS セキュリティ情報共有ポータルサイト (ConPaS) 米国 ICS-CERT が公表した情報の抄訳過去に発行したニュースレターや参考情報セキュリティ関連ガイドラインや基準等の邦訳の掲載ニュースクリップ etc 自己評価ツール日本版 SSAT(SCADA Self Assessment Tool) J-CLICS 詳細は以下をご覧ください https://www.jpcert.or.jp/ics/ 16

制御システムにおけるサイバー脅威の傾向 17

ICS-CERTインシデント統計 ICS-CERTのインシデント統計によるとインシデント報告は増加傾向にある米ICS-CERTインシデント統計米会計年度別 2016 2015 2014 2013 2012 2011 2010 290 295 245 257 197 196 41 0 50 100 150 200 250 300 350 インシデント報告件数 ICS-CERTの2010 2016のデータを元にJPCERT/CCにて作成 https://ics-cert.us-cert.gov/other-reports ただしこれらの多くは情報系への影響のみで制御システムにまで影響が及んだインシデントはごく一部と思われる 18

ICS を狙って作られたマルウエアマルウエア名報告年概要 Stuxnet 2010 Havex (DragonFly, EnergeticBear, CrouchingYeti) 2014 BlackEnergy2 2014 BlackEnergy3 2015 Industroyer (CrashOverRide) HatMan (Triton, Trisis) イランのウラン濃縮工場の遠心分離機に異常な回転をさせて破壊制御ベンダの Web サイトを改ざんし制御機器用のソフトウエアにマルウエアを仕込む OPC 関連情報を収集 SCADA の脆弱性を突いて侵入複数の企業のインターネットに接続された HMI が感染電力およびその関連業界が感染 ( 情報収集に利用された?) 2015 年末と 2016 年末のウクライナでの停電の前段階で多数の感染 KillDisk を用いて ICS のディスク装置の内容を破壊 2017 2016 年末にウクライナで遮断機を動かし停電を引き起こした 2017 Schneider 社製安全計装コントローラのプログラムを改竄監視していた設備が緊急停止 19

停電を引き起こした Industroyer ウクライナの電力網に対するサイバー攻撃に使用されたとみられるマルウエア ESET 社のレポート https://www.welivesecurity.com/wp-content/uploads/2017/06/win32_industroyer.pdf Dragos 社のレポート https://dragos.com/blog/crashoverride/crashoverride-01.pdf 特徴電力供給システムや輸送システムで使われるプロトコルを悪用 IEC 60870-5-101 IEC 60870-5-104 IEC 61850 OPC DA 等変電所のスイッチやブレーカを制御可能だった機能がモジュール化されているため標的とする地域やインフラに合わせた改変が容易 20

安全計装を狙った Hatman Schneider 社製の安全計装システム Triconex を狙ったマルウエア FireEye 社の解説記事 https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attackframework-triton.html ICS-CERT のレポート https://ics-cert.us-cert.gov/sites/default/files/documents/mar-17-352- 01%20HatMan%E2%80%94Safety%20System%20Targeted%20Malware_S508C.pdf 概要 2017 年 8 月 4 日に中東の企業で Triconex の自己検証機能が異常を検知し監視していた設備が緊急停止その後の調査でマルウエア HatMan が見つかり 12 月中旬に公表 21

HatMan の動作概要エンジニアリングワークステーション等から設定用アプリケーションになりすましてコントローラに攻撃用スクリプトを注入しそれを起動するコントローラに注入されたスクリプトによりコントローラの状態の偵察などを行う ( 潜在的には改ざんも可能 ) 引用 : https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attackframework-triton.html 22

Hatman における考察安全計装システムが改ざんされても甚大な災害には直結しないが異常がないのに緊急停止異常があっても見過ごされるといった事態が懸念されるコントローラの設定変更を禁止するキーが備わっているが切り替えて厳格運用しているか? 侵害され無効化される可能性引用 : https://www.fireeye.com/blog/threatresearch/2017/12/attackers-deploy-new-icsattack-framework-triton.html 23

ランサムウエアの大流行と ICS そもそも ICS を狙って開発されたわけではないシステムを復旧させて欲しければ身代金を支払え! 身代金を払ってもシステムを復旧できるとは限らないランサムウエアにもバグがある破壊型のマルウエアがランサムウエアに見せかけるケースも ICS が感染すれば操業の停止や復旧コスト等企業の業績に響くような被害にも発展するバックアップが無いために復旧に手間取るケースもある 24

ランサムウエアの大流行と ICS への影響米国 NSA から流出したとされる Server Message Block(SMB) の脆弱性を突く攻撃コードが組み込まれたことにより強い感染力を獲得した WannaCry と NotPetya 時期記事 2016 年ランサムウエア攻撃が増加 ( 前年比 5 割増 ) 2017 年 3 月 Server Message Block の脆弱性情報の公表 2017 年 5 月ランサムウエア WannaCry 攻撃 1 日で 150 ヶ国の 23 万台に感染 2017 年 5 月 Marcus Hutchins 氏が kill switch を発見 2017 年 6 月破壊型マルウエア NotPetya 攻撃ウクライナ国内の 1.25 万台を攻撃その後に少なくとも 64 ヶ国に感染拡大北朝鮮による攻撃? ロシアによる対ウクライナ攻撃? 25

世界的に大きな影響を与えた WannaCry ワーム機能を備えたランサムウエア https://ics-cert.kaspersky.com/reports/2017/06/22/wannacry-on-industrialnetworks/ 特徴ワーム機能を備えたランサムウエア内部外部ネットワークへの感染拡大を行う秒間 10-20 パケット送信感染拡大には SMB(MS17-010 で修正 ) の脆弱性を悪用する EternalBlue と呼ばれるツール KillSwitch と呼ばれる動作を制御する機能が存在するこの機能が存在しない亜種もある主な被害欧州の自動車工場では操業を停止した事例がある 26

業績にも影響を与えた NotPetya システムを破壊してしまうマルウエア https://www.cylance.com/ja_jp/blog/jp-threat-spotlight-petya-like-ransomware-is-nastywiper.html 特徴ネットワーク内への感染拡大を行う SMB(MS17-010 で修正 ) の脆弱性の悪用する認証情報を摂取するツールを使用する MBR を書き換える (OS が起動不可 ) 主な被害豪州のチョコレート工場で操業が 1 日停止欧州の物流会社米国の製薬会社では業績にまで影響 27

NotPetya 被害 : FedEx 社米国に本拠を置く物流企業売上 : 503 億ドル従業員数 : 40 万人 2016 年 5 月に買収した欧州の TNT Express で 6 月 27 日にランサムウエア攻撃を被ったウクライナの拠点から始まり TNT 全域が感染 7 月中旬時点で : 非常事態計画を発動しなんとかサービスを復旧システムの完全復旧の見通し立たず売上 : 69.1 億ユーロ被害 : 3 億ドル ( 復旧費用を含む ) 参考 :FedEx Files 10-K with Additional Disclosure on Cyber-Attack Affecting TNT Express Systems http://investors.fedex.com/news-and-events/investor-news/news-release-details/2017/fedex-files-10-k-with- Additional-Disclosure-on-Cyber-Attack-Affecting-TNT-Express-Systems/default.aspx 29

NotPetya 被害 : Merck 社米国に本拠を置く製薬会社売上 : 395 億ドル従業員数 : 7 万人 6 月 27 日にサイバー攻撃を被った製造,R&D, 販売の各部門で操業に影響 1ヶ月で梱包は復旧できたが, 調剤は復旧途上一部の原薬製造は復旧までに半年以上の見通し売れ筋商品の出荷を確保して売上への影響を回避参考 : 四半期決算報告書 (Financial Outlook 部分を参照 ) http://www.mrknewsroom.com/news-release/corporate-news/merck-announces-second-quarter-2017-financialresults 30

無防備にインターネットに接続していたことで感染したとみられる機器の一例 JPCERT/CC が持つ定点観測システム TSUBAME にて観測した Telnet(Port23/TCP) の Scan パケットの送信元を調査したところ再生可能エネルギーのモニタリング装置が見つかった推測される利用環境固定 IP アドレスを使用設置場所は不明組み込み Linux 状況 SHODAN で検索可能マルウエアに感染踏み台として悪用されている発電モニタリングデータ設定現在の発電 : kw 総量 : kwh 送信元 IP アドレスの Web サーバで表示される発電量画面 ( イメージ ) 主な問題攻撃者に辞書攻撃を受け機器に侵入されていたリモート管理用に Telnet をサポートしているローカル環境での利用を想定した機器をインターネットに直結していた製品ベンダはローカルエリアでの運用を推奨している 30

制御システムにおける脆弱性の動向 31

米国 ICS-CERT が公表した脆弱性アドバイザリ数 2017 年 (CY) はアドバイザリ : 189 件 ( うち 16 件は医療用機器 ) アラート : 9 件引用 : ICS-CERT Annual Vulnerability Coordination Report 2016 https://ics-cert.us-cert.gov/sites/default/files/annual_reports/nccic_ics- CERT_FY%202016_Annual_Vulnerability_Coordination_Report.pdf 32

ICS 関連の脆弱性の動向公表された脆弱性の 9 割は公表前に調整されている報告者開発者と脆弱性情報を適切に取り扱いアップデート情報とともに情報を公開している脆弱性のカテゴリ別内訳で筆頭に挙げられるバッファオーバーフロー (34%) 入力検証の不備 (7%) クロスサイトスクリプティング (5%) 引用 : ICS-CERT Annual Vulnerability Coordination Report 2016 ベンダーが自ら ICS-CERT に報告する事案の割合が増加 33

懸念される ICS 関連の脆弱性 : 継承される脆弱性 ICS ベンダー自身が作り込んだわけではないが上流から継承される脆弱性がある Spectre と Meltdown: プロセッサの脆弱性読めないように管理されているはずのメモリ領域が見える ICS-ALERT-18-011-01B (https://ics-cert.us-cert.gov/alerts/ics-alert-18-011-01b) WiFi に対する Krack 攻撃 (https://www.krackattacks.com/) OPC-UA プロトコルスタックの脆弱性 Siemens 社は脆弱性を報告しているが他のベンダーは影響を受けないのか? ICSA-17-243-01B (https://ics-cert.us-cert.gov/advisories/icsa-17-243-01b) ソフトウェアライセンス管理用 USB(SafeNet センチネル ) の脆弱性 14 件の脆弱性 : 挿入された PC が脆弱な状態になる ICSA-17-243-01B (https://ics-cert.us-cert.gov/advisories/icsa-17-243-01b) 34

懸念される ICS 関連の脆弱性 : 産業用ロボットこれまでの ICS 用機器と同様に多数の脆弱性が潜在している ( サプライチェーンの上流から継承している ) と推測される注意を喚起する報告書 IOActive: Hacking Robots Before Skynet https://ioactive.com/pdfs/hacking-robots-before-skynet.pdf TripWire: More than 90% of IT Pros Expect More Attacks, Risk, and Vulnerability with IIoT in 2017 https://www.tripwire.com/state-of-security/featured/90-pros-expect-attacksrisk-vulnerability-iiot-2017/ 35

懸念される ICS 関連の脆弱性 : モバイルアプリケーション ICS 用モバイルアプリケーションが普及する中脆弱性に関する報告書が公開された https://ioactive.com/pdfs/scada-and-mobile-security-in-the-iot-era-embedi-finalab%20(1).pdf 報告書では 34 社の ICS 用モバイルアプリケーションをランダムに選んで試験した結果がまとめられている 147 件の脆弱性を発見引用 :SCADA And Mobile Security In The Internet Of Things Era https://ioactive.com/pdfs/scada-and-mobile-security-in-the-iot-era-embedi-finalab%20(1).pdf 36

ブログによる公開インターネットから接続可能な日本の制御システムがブログ記事 ( 中国語 ) で公開される公開されていたシステムの状況インターネットから Web インターフェースにアクセス可能インターネットから PLC のポートに到達可能別の記事で PoC コード ( 概念実証コード ) が公開その後脆弱性を持つ機器の探索を目的としたスキャンパケットを確認考えられるブログ記事の抜粋 37

セキュリティに関する対応を行う上での課題 38

サプライチェーンの問題ユーザが利用するシステムがマルウエアに感染したり脆弱性が発見されたりしたとき誰がどのように対応するのかユーザがシステムの設定変更等を行えば対応可能なのか SI ベンダの保守で対応可能なのか販社のサポートセンターへの問い合わせで対応可能なのか製品ベンダが機能追加やパッチ等で対応する必要があるのかそれぞれの契約の範囲はどのようになっているか業界全体で対応を検討していく必要があるサイバー攻撃を受けることを前提とした仕組みへの切り替え製品ベンダ販社流通の流れ SI ベンダユーザシステム A 営業対応の流れ営業運用管理製品開発営業運用保守利用者技術研究サポートセンターシステム開発 39

組織内での部門連携の問題セキュリティに関する情報が外部から届いたらセキュリティ担当者が直接外部からの情報を受け取るケースは少ない情報を受け取った人が適切な部署に情報を展開する必要がある情報のトリアージさらに内容によって組織内の様々な部門との連携が必要製品に関する対応ユーザへの対応メディアへの対応発見者への報告 etc 脆弱性の対応例組織 A 広報営業 1: 連絡発見者 3: 第一報 6: フィードバック 2: 一次受け 3: 情報の展開深刻な事案が少ない今のうちからセキュリティを経営課題としてとらえ取り組んでいくことが重要設計 4: 連携対応開発 4: 連携対応研究 5: フィードバック 40

JPCERT/CC がインシデント未然防止活動を行う上での課題機器の IP アドレスから調査した Whois 情報は多くの場合 ISP までしか特定できない法律上の問題 ( 通信の秘密 ) によってインシデント発生前にユーザ ( アセットオーナ ) を特定することが難しい製品を特定し製品ベンダに連絡したとしても対応が限られるユーザ ( アセットオーナ ) の特定 ( 製品の範囲での ) 対策の実施が難しい JPCERT/CC Whois 情報検索サービス等製品情報 ISP 管理用 Web UI 制御系プロトコル製品ベンダ SI ベンダユーザ 41

セキュリティ対策のエコシステムへの課題脆弱性などのある機器の特定ファームウエアのアップデート実施課題ネットワーク上の機器の状態を認知することが困難課題そもそも感染に気付けない被害への対応課題影響範囲の特定や対策の実施には時間がかかる ISP事業者 1 自らは被害者ではないので対策をとるインセンティブがないお互いの立場や範囲を理解し協力していくことが重要被害組織ユーザ管理者ファームウエアのアップデート開発インシデント対応支援課題被害組織や原因が必ず特定できるわけではない課題アップデートや機器の復旧方法のアナウンス使用可能な機能を制限することは対処しづらい OEM製品の場合自社による対応が困難 1 ベンダ(国内海外) 42 1 1 課題販売先設置先管理まで面倒は見られない設置事業者販売店

おわりに 43

感染経路となりうるポイントインターネット拠点地区 Server A 地区工場 Laptop EWS Router Laptop EWS Router HMI Web で検索! File/Print server App server Data server FW File/Print server App server Data server Controller I/O Controller I/O HMI B 地区工場 App server Data server Maint server FW Laptop EWS Router HMI 保守用 PC Controller Controller File/Print server App server Data server Controller Controller I/O I/O I/O I/O 44

考えられるセキュリティ対策設計段階運用段階で考慮すべきセキュリティ設計段階 ( ベンダ ) セキュリティ機能の実装 ( 認証暗号化など ) セキュアデザインセキュアコーディング運用段階 ( ユーザ ) セキュリティに関する設定セキュリティパッチの適用異常検知のための継続的なモニタリングセキュリティアセスメントセキュリティソリューションの活用ホワイトリスト振る舞い検知一方向通信制御ネットワークモニタリングセキュリティスイッチ etc 45

まとめ攻撃者は様々なタイプのマルウエアやツールを組み合わせてサイバー攻撃を仕掛けてくる制御システムにまで影響が出る事例も増加している真のエアギャップを担保するのは難しいため今一度接続点のセキュリティの見直しを推奨する気づいたらネットワーク経由外部メディア経由でデータのやり取りをしていることも考えられるインシデントを防止軽減するためにも自組織の部門間同業他社業界を超えた協力が不可欠セキュリティに関して何かございましたら JPCERT/CC までご一報ください! 46

お問合せインシデント対応のご依頼は JPCERT コーディネーションセンター Email:pr@jpcert.or.jp Tel:03-3518-4600 https://www.jpcert.or.jp/ インシデント報告 Email:info@jpcert.or.jp https://www.jpcert.or.jp/form/ 制御システムインシデントの報告 Email:icsr-ir@jpcert.or.jp https://www.jpcert.or.jp/ics/ics-form.html 47

ご静聴ありがとうございました 48

制御システムに関する最近の脅威と JPCERT/CC の取り組み 2018年03月10日 JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 阿部 真吾

制御システムに関する最近の脅威と JPCERT/CC の取り組み 2018年03月10日 JPCERTコーディネーションセンター制御システムセキュリティ対策グループ阿部真吾