Shodanで調べよう、PLCを狙う不審なアクセスへの備え(2/2 ページ)
産業制御システムを標的にした不審な通信への注意喚起が相次いでいます。インターネットに公開された機器を検索できるサービスの悪用が懸念され、自社システムが公開されているかどうかをぜひ確認してください。
Shodanとは?
Shodanは、インターネットに公開されているシステムの情報をデータベース化して一般に広く検索サービスを提供しているWebサイトです。利用者がサイト上からIPアドレスやドメイン名、ポート番号などを条件に検索すると、該当するシステムの詳しい情報を入手できます。
インターネットのような公開空間での情報は、基本的にオープンなものとして扱われるのが前提です。Shodanも公開されているシステムの情報を知りたいという利用者のニーズに応える目的で提供されていると思われます。JPCERT/CCによれば、SHODANは当初、Webサーバや一般的なIT機器を対象に情報を蓄積していました。さらに、サービスや機能の向上で産業制御システムにも対応するようになったといいます。
しかし、この特徴から(1)サイバー攻撃者が標的にできるシステムを探す、(2)システムの管理者が意図しないままシステムをインターネットに公開してしまう――という大きく2つの問題点が生じるようになりました。(1)の問題は善意のサービスを逆手に取る行為であり、サイバー攻撃者の素性を暴きにくいという現在の状況では対策が難しいでしょう。
(2)は主に管理者などの認識不足や設定の不備などに起因する問題です。そのような要因で公開されているシステムは、認証が行われていないか、パスワードが初期設定のままだったり、脆弱性が解消されていなかったりと、セキュリティ対策が適切に講じられないまま放置している状況も想定されます。
サイバー攻撃者にとってセキュリティが甘いシステムの乗っ取りは簡単です。遠隔操作などによって思いのままにセキュリティの甘いシステムを操り、別のシステムへの攻撃の踏み台に使う可能性もあります。そのためにShodanのようなサービスを悪用しています。
対策は?
Shodanのようなサービスを悪用した脅威から自社のシステムを守るには、まず自社システムが意図せずインターネット上に公開され、Shodanのデータベースに登録されているかどうか確認する必要があります。JPCERT/CCでは次の確認手順を紹介しています。
- インターネット接続しているネットワーク機器のグローバルIPアドレスを調べる
- 調べたIPアドレスをShodanで検索する
- 検索結果に自社のシステムに関する情報が含まれているかどうかを確認する
もしShodanの検索結果で自社のシステムに関する情報が見つかった場合、そのシステムに対する認証が行われているかどうかや、強固なパスワードが設定されているかどうかいった状況を確認し、適切なアクセス制御を行って不正アクセスの危険性を低減します。意図せずシステムが公開されていたり、外部からアクセスの必要性がないのであれば、システムの公開を停止する措置を講じるべきでしょう。
JPCERT/CCは、Shodanで定期的に機能強化などが行われていることから、自社システムの状況を常に確認してほしいと呼び掛けています。
産業制御システムに限らず、現在では様々なシステムがインターネットに接続されているため、Shodanのようなサービスを悪用した攻撃の危険性に絶えず晒されているといっても過言ではありません。最近では家庭のWebカメラが意図せず公開された状態になり、プライバシーがインターネットに漏れたり、設定や脆弱性対策が不十分なホームルータがサイバー攻撃の踏み台にされたりする事態が報告されています。
関連記事
- PLC狙いの新たな通信を観測、脆弱性探索が活発化?
警察庁が注意喚起していた不審な通信について、従来とは異なるコードを使った手口が増加している。 - PLCの脆弱性を狙うアクセス急増、警察庁が注意喚起
産業制御システムで使われるPLCソフトの脆弱性を標的にしたアクセスが多数観測されている。 - 防衛隊も納得? 日本のインフラを守るセキュリティ技術の現場に行ってみた(前編)
ウイルス感染でオフィスビルや発電所が大惨事に!? まるでSF映画のようなシーンが現実に起こり得る状況になってきた。社会インフラシステムを守るサイバーセキュリティ技術の最前線ではどんなことが行われているのだろうか。 - マルウェアでブラックアウトの衝撃 インフラを狙うサイバー攻撃を体験してみた(後編)
不正プログラムや悪意を持った人間の行為で制御系システムに問題が起きると、社会がパニックに陥る事態になりかねない。制御系システムのセキュリティ対策を牽引する宮城県の制御システムセキュリティセンターの「CSS-Base6」ではそんなサイバー攻撃の怖さを体験できる。 - 不正アクセスの次なる標的は複合機? 専門家が指摘
サーバやデータベースに対する不正アクセス攻撃が頻発している昨今、攻撃者が新たな標的にしているのがオフィスなどの複合機だという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.