SHODANを悪用した攻撃に備えて-制御システム編-

Similar documents
ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

2.5 月のアクセスの状況 28 年 5 月のアクセス状況は 4 月と比べて若干減少しました これは主に Windows Messenger サービスを悪用してポップアップメッセージを送信するアクセスである 126/udp 127/udp および 128/udp などへのアクセスが減少したためです

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

SiteLock操作マニュアル

Zone Poisoning

内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

目次 はじめに... 1 本書の対象読者... 1 注意事項 オフィス機器とサーバー機能 オフィス機器のサーバー機能 オフィス機器の問題と脅威 インターネット接続機器検索サービス SHODAN SHODAN

本日 お話しすること 第一部多様化する IoT のセキュリティ脅威 IoT 機器に感染するウイルスの多様化 脆弱性を有する IoT 機器の散在 国内に広がる感染被害 第二部開発者 製造者の対策 IoT 開発におけるセキュリティ設計の手引き 開発段階からセキュリティを考慮 ( セキュリティ バイ デザ

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

プロキシ・ファイヤーウォール         通信許可対象サーバリスト

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

ICT-ISACにおけるIoTセキュリティの取組について

重大な経営課題となる 制御システム のセキュリティリスク ~ 制御システムを運用する企業が実施すべきポイント ~ 2015 年 5 月 14 日 15 日独立行政法人情報処理推進機構技術本部セキュリティセンター主任研究員渡辺貴仁 1

Template Word Document

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

制御システムとは 制御システムとは エネルギー分野 ( 電力 ガス等 ) や石油 化学 鉄鋼業等のプラントにおける監視 制御 機械 食品等の工場の生産 加工ラインなどで 多くの企業に利用されているシステム 石油化学プラント 工場の生産ライン 以下のような業種の工場 プラントや社会インフラでは 制御シ

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

目次 1. 概要 本書について CGI バージョンについて はじめに カメラへの不正アクセスを防ぐ 定期的にファームウェアを確認する デバイスへの不要なアクセスを避ける

プレゼンテーション

事例例紹介 ~ 脅威と対策 ( 事例 1) 初期期パスワードや脆弱なパスワードの利用に起因因する 第三三者による映映像不正閲覧覧 PTZ 等の機器操作 脅脅威 監視カメラなどに初期設定されたユーザ名やパスワードは メーカ毎にほぼ決まっていたり WEB サイトなどから入入手可能な説明明書に掲載されてい

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

情報連携用語彙データベースと連携するデータ設計 作成支援ツール群の試作及び試用並びに概念モデルの構築 ( 神戸市こども家庭局こども企画育成部 千葉市総務局情報経営部業務改革推進課 川口市企画財政部情報政策課 ) データ構造設計支援ツール設計書 2014 年 9 月 30 日 実施企業 : 株式会社ア

VoIP-TA 取扱説明書 追加・修正についての説明資料

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

プロキシ・ファイアウォール       通信許可対象サーバリスト

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

インシデントハンドリング業務報告書

NSPIXP JPNAP などの日本国内の IX と直接にネットワーク接続されている 受注者が自社で保有している 24 時間 365 日の運用監視体制を有している (2) サーバ環境については 受注者が自社で保有していること (3) バーチャルホストなど同一 IP アドレス上でサーバ環境を共有する環

058 LGWAN-No155.indd

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

金融工学ガイダンス

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

untitled

マイナンバー対策マニュアル(技術的安全管理措置)

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Microsoft PowerPoint - 【セット】IPA.pptx

LAN Control Document


スライド 1

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

もくじ 複合機をより安全にお使いいただくための前提として P3 複合機のセキュリティー対策として P3 1 管理者パスワードを変更する P4 2 登録宛先変更を禁止する P5 3 PageScope Web Connection へアクセスする方法 P6 4 複合機へのアクセスを IP アドレスで制

UDPとCBR

正誤表(FPT0417)

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Microsoft PowerPoint - HNWG8_03_HN-WG.A_アーキテクチャおよび技術課題(9.18版).ppt

SOC Report

これだけは知ってほしいVoIPセキュリティの基礎

IPA テクニカルウォッチ 増加するインターネット接続機器の不適切な情報公開とその対策 ~ あなたのシステムや機器が見られているかもしれない ~

conf_example_260V2_inet_snat.pdf

なぜIDSIPSは必要なのか?(v1.1).ppt

JPCERTコーディネーションセンター製品開発者リスト登録規約

スキル領域 職種 : ソフトウェアデベロップメント スキル領域と SWD 経済産業省, 独立行政法人情報処理推進機構

製品概要

Solstice Pod ネットワーク導入ガイド

情報通信の基礎

目 次 徹底解説本試験問題シリーズの刊行にあたって 試験制度解説編 1. データベーススペシャリスト試験の概要 8 2. 受験ガイド 平成 29 年度春期の試験に向けて 25 平成 26 年度春期試験問題と解答 解説編午前 Ⅰ 問題 H26-1 午前 Ⅱ 問題 H26-19 午後 Ⅰ 問

注意事項 本文書は 2014 年 10 月 15 日時点で公開されている脆弱性情報にもとづいて作成されています 脆弱性の影響を受ける条件 改善策及び回避策等は公開情報をもとに記載しており 今後新 たに公開される情報により変更される可能性がありますのでご注意ください 目 次 1. 脆弱性の概要...

Microsoft PowerPoint - A-3予稿最終版

2011 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 1.1 今四半期に登録した脆弱性の種類別件数 す 別紙 2 共通脆弱性タイプ一覧 CWE ( *12) は 脆弱性の種類を識別するための共通の脆弱性タイプの一覧で C

インストール iras ソフトウェアをインストールしてください 1) インターネットにつながっている Windows パソコンをご使用の場合 以下の SELCO の Web サイトで iras の最新版をダウンロードしてしてください

目次 1. はじめに 2 2. インターネットからの不正アクセス防止セキュリティ対策と注意点 3 対策 1 : プライベート IPアドレスの使用対策 2 : 管理者パスワード変更対策 3 : ユーザー認証の設定対策 4 : IPアドレスのフィルタリング 3. シャープデジタル複合機のセキュリティ設定

1

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

Microsoft PowerPoint - ASVプログラムガイド解説 [互換モード]

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

(2) 無線 LAN が関係した事件の実例 無線 LAN が関係した事件の実例を 表 1-1 に示します 表 1-1: 無線 LAN が関係した事件の実例時期内容 2008 年 6 月インターネットに接続できる携帯ゲーム機を使用して他人の家の無線 LAN に無断で接続し インターネットの掲示板に無差

[参考資料] Bluetooth対応タブレットでインターネット(MSP1000)

H30年春期 情報処理安全確保支援士 合格発表コメント

WZR-HP-AG300H WZR-HP-G301NH WZR-HP-G300NH ルーター機能を使用しないでアクセスポイントとして利用する 無線親機のルーター機能を使用しないで アクセスポイントとして使用する場合は 以下の手順で行います 無線親機のルーター機能を OFF にすると 無線親機のIPア

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ -2-

SonicWALL サーバ証明書 2048bit 対応ファームウェア アップデート手順書 PROシリーズ(G4製品)版

メールデータ移行手順

PowerPoint プレゼンテーション

マルウェアレポート 2018年2月度版

もくじ 複合機をより安全にお使いいただくための前提として P3 複合機のセキュリティー対策として P3 1 PageScope Web Connection へアクセスする方法 P4 2 管理者パスワードを変更する P5 3 複合機へのアクセスを IP アドレスで制限する P6 4 登録宛先変更を禁

untitled

untitled

1. ネットワーク経由でダウンロードする場合の注意事項 ダウンロード作業における確認事項 PC 上にファイアウォールの設定がされている場合は 必ずファイアウォールを無効にしてください また ウイルス検知ソフトウェアが起動している場合は 一旦その機能を無効にしてください プリンターは必ず停止状態 (

LGWAN-1.indd

OP2

予算上限値到達時ジョブ投入停止機能 データ収集日表示 ノード時間積表示 ジョブ課金情報 予算上限値到達でジョブ投入停止機能を有すること 最後に課金情報を集計した日時を表示すること 使用計算資源を使用ノード数と時間の積として表示すること ジョブ単位での課金情報を表示できること 1 3 基本予算管理利用

UT-VPN ブリッジ構築手順 2013/03/24 Ver1.1 大阪キャプショナーズ米田

ebook( 施設 ユニークべニューを盛り込んだプランニングガイド, つくば観光コンベンション協会 水戸観光コンベンション協会のパンフレット等 ) 茨城県 MICE 誘致推進 目的協議会とは 活動内容 構成員( リンク集 ) 事務局茨城で開催するメリット 利便性の良いアクセス 豊富な開催実績 リーズ

Transcription:

SHODAN を悪用した攻撃に備えて - 制御システム編 - 一般社団法人 JPCERT コーディネーションセンター制御システムセキュリティ対策グループ 2015 年 6 月 9 日 ( 初版 )

1 SHODAN とは? 1.1 SHODAN とは? SHODAN とは インターネット上に公開されている様々な機器 ( 表 1 参照 ) に関する情報をデータベース化し インターネット上のサービスとして検索可能にする Web サービスです 例えば インターネットに公開されている Web サーバを検索したいときは SHODAN の Web サービス (https://www.shodan.io) にアクセスし 対象のドメイン名や IP アドレス+ポート番号 80( または 443) を指定して検索することで 目的の Web サーバの情報を取得することができます また 特定プロトコルのポート番号を指定して検索することで そのプロトコルをサポートする世界中の機器をリストアップすることもできます SHODAN は インターネットの全域に対してデータ収集のための探索を行っていると考えられ そのためインターネットからアクセス可能な状態で設置されている機器は 設置者の意図にかかわらず SHODAN のデータベースに登録されている可能性があります 一般に リクエストに対してレスポンスを返すような通信機能を搭載した機器は 送付するリクエストを工夫し 返ってくるレスポンスに含まれる情報を分析することにより 遠隔からネットワーク経由で機器 ( 搭載され稼働しているソフトウェアを含む ) の種類や一部の設定情報を割り出すことができます SHODAN は 種々のプロトコルでインターネット アドレスの全域にわたって網羅的に接続を試みて得られた情報を整理してデータベース化しています [ 図 1 SHODAN トップページ (https://www.shodan.io)] [ 表 1 SHODAN で検索可能な機器例 ] Web サーバ Web カメラ ルータやスイッチ NAS 複合機 NW 対応家電 (TV レコーダなど) ビル管理システム 制御システム (HMI/PLC など ) 1

1.2 SHODAN の制御システムへの対応 当初 SHODAN は各種サーバ ネットワーク機器といった一般的な IT 機器を検索対象としてデータベー スに情報を蓄積していました その後 プラントなどで使用される制御システムにも対応しました 表 2 に主に SHODAN が対応する制御システム関連プロトコルの一例を示します [ 表 2 SHODAN が対応する制御システム関連プロトコル例 ] プロトコル名称 ポート番号 / プロトコル (tcp/udp) EtherNet/IP 44818/tcp,udp Modbus 502/tcp DNP3 20000/tcp,udp BACnet 47808/udp CodeSys 1200/tcp,udp, 2455/tcp,udp HART-IP 5094/tcp,udp Omron FINS 9600/tcp,udp これらプロトコルをサポートする制御システムをインターネットからアクセス可能な場所に設置している場合は SHODAN のデータベースに制御システムが登録されてしまっている可能性があります 1.3 SHODAN を使用した検索例 SHODAN を使用して 制御システム関連製品を検索した結果の表示例を [ 図 2] に示します 1 2 [ 図 2 SHODAN での検索結果例 ] 1 :IP アドレス関連情報 (IP アドレス プロバイダ名 地域情報など ) 2 : 製品関連情報 ( 製品名 ベンダ名 シリアル番号 デバイスタイプ IP アドレス ) 検索結果の表示内容は 検索対象のプロトコル 製品などにより異なります 2

2 SHODAN を使用した 制御システムへの攻撃 について SHODAN は 使い方によっては攻撃対象となる制御システムの探索に悪用することができます 攻撃者は SHODAN を使用して脆弱な制御システムを探索し 攻撃を仕掛けることができます 特に 制御システムは セキュリティパッチが適用されていなかったり 適切なアクセス制御が行われていないケースが多かったりするため 攻撃が行われるとシステムの停止など 可用性に大きな影響を及ぼしかねません 以下に 攻撃シナリオの一例を示します CASE:1 不特定のアセットオーナを対象とする攻撃例 脆弱性情報や攻撃ツールなどから 攻撃対象とする制御システムを選定する 攻撃対象の制御システムを SHODAN で検索するためのキーワード ( ベンダ名 機種名など ) を選定する 選定したキーワードを SHODAN で検索する 検索結果としてリストアップされた対象機器の IP アドレスに対して 攻撃ツールなどを使用して情報収集または攻撃を実行する CASE:2 特定のアセットオーナを対象とする攻撃例 何らかの方法で攻撃対象の IP アドレスを特定する SHODAN にて 攻撃対象の IP アドレスをキーワードに検索する 攻撃対象で稼働するサービス一覧から 攻撃可能なサービスに対して攻撃を仕掛ける 攻撃対象となり得るのは インターネットからアクセス可能な制御システムで かつアクセス制御を行っていない制御システムに限ります ( インターネットからアクセスができない またはアクセス制御により特定の対象以外と通信ができない制御システムは SHODAN のデータベースには登録されません ) 3

3 アセットオーナが行うべき対策 2 章で示したように SHODAN を使用すれば比較的容易に制御システムを探しだすことが可能です ま ずは 自社の制御システムが SHODAN で検索され得る状態にないか確認してください ( 確認手順 ) 1) インターネット接続をしているネットワーク機器のグローバル IP アドレスを調べる 2) 調べた IP アドレスを SHODAN で検索する 3) 検索結果に自社の制御システムに関する情報が含まれていないか確認する もし 検索結果に自社のシステムが表示された場合は その機器の認証機能の有無やパスワードの強度など 不正アクセスされる危険性がないか調査してください SHODAN は 定期的に機能アップしているため 今後も対応するプロトコルの追加や精度の向上が図られる可能性があります このため 定期的な確認作業を推奨します 具体的な対策については 以下の独立行政法人情報処理推進機構 (IPA) の資料をご参照ください IPA テクニカルウォッチ 増加するインターネット接続機器の不適切な情報公開とその対策 ~ SHODAN を活用したインターネット接続機器のセキュリティ検査 ~ https://www.ipa.go.jp/files/000036921.pdf 4 おわりに 本資料を作成している 2015 年 5 月の時点で SHODAN を悪用した攻撃が国内で発生したという情報はありませんが 水面下で将来の攻撃のための情報収集に使用されている可能性は否定できません 制御システムでは 何らかの事故が起きた場合に人命にも影響することがあるため できる限りの対策をとることが望まれます 4

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック