Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

TeamViewerがインフラを脅かす

水道等インフラへのサイバー攻撃、まだ海外でしか発生した報道を見ませんが、今後警戒すべき攻撃です。

www.reuters.com

(ロイター)-ハッカーフロリダ州タンパ近郊の約15,000人の水を処理する施設のコンピューターシステムに侵入し、危険なレベルの添加剤を給水に追加しようとしたと、ピネラス郡保安官は月曜日に述べた。

(中略)

金曜日の試みは阻止されました。ボブ・グァルティエリ保安官はインタビューで、ハッカーはオールズマーの町の施設にいる従業員のコンピューター上で、TeamViewerという名前のソフトウェアプログラムにリモートでアクセスして、他のシステムを制御できるようになったと語った。

「男はそこに座ってコンピューターを監視していましたが、突然、コンピューターにアクセスしたことを示すウィンドウがポップアップ表示されました」とGualtieri氏は述べています。「次に誰かが知っているのは、マウスをドラッグしてクリックし、プログラムを開いてシステムを操作することです。」

その後、ハッカー、灰汁としても知られる水酸化ナトリウムの量を増やし、給水に分配しました

(Reuters記事より引用)※機械翻訳

 

キタきつねの所感

TeamViewerはリモートでのアクセスを可能にするソフトで、私も一時期使っていた事がありますが、遠隔地のメンテナンスやPC操作が必要な時に重宝するソフトです。

一方でこうしたソフトの認証が突破される、あるいは脆弱性を突かれて不正侵入されると、外部から端末を操作できる事もあり、大きな被害を引き起こす可能性があるので、攻撃者が狙ってきやすいエンドポイントでもあります。

 

今回不正アクセス被害を受けたのは、フロリダ州オールズマーにある上水道管理システムは、地域住民約15,000人に水を提供しており、安全であるべき水の水酸化ナトリウム濃度が100倍に変更されるというサイバー攻撃は、たまたま遠隔地のスタッフが濃度上昇にすぐに気づいた為、給水自体には影響が無かった様ですが、サイバー攻撃の脅威は私たちの身の回りにも迫ってきている事を感じさせます。

 

事件を受けて市の保安官が会見を開いて丁寧に説明したのは珍しい気がします。

動画を見ると、この事件を受けての公共水道には影響が無かった(その前に止められた)点を明言している点や、他の地区の(TeamsViewerの)セキュリティ設定も見直しするとした情報公開の姿勢はインシデント対応として参考になります。

金曜日の8時~13時半頃に3-5分画面が不正操作されて、水酸化ナトリウムの設定を変更して、標準設定の100倍の濃度(人体に影響が出るレベル)にされた事を公表しています。

www.youtube.com

 

TeamViewerはいくつかのセキュリティ設定をかける事ができますが、おそらくこの辺りかな?と思う脆弱点は、「2段階認証(多要素認証)」です。

community.teamviewer.com

 

TeamViewerは2段階認証が設定可能で、YouTube説明映像を見ると、Googleオーセンティケータ―が利用可能な様です。

関連記事、あるいは保安官の会見内容では「2段階認証」には触れてない事から、単純なID/Password(脆弱なパスワード又はパスワードの使い回し)を外部から狙われた可能性が高いのかと想像します。

www.cnn.co.jp

工業サイバーセキュリティー企業ドラゴスのロバート・リー最高経営責任者(CEO)は今回の事件について、早期に対応したために重大な結果は免れたが、業界の専門家が警戒しているのはまさにこうした攻撃だったと指摘。「これは取り立てて高度な攻撃だったわけではない。だが間違いなく危惧されていた事態で、何者かが人に危害を加えようとした数少ない事案の1つだった」と位置付ける。

(CNN記事より引用)

※不正侵入からランサムインストールといった攻撃も警戒する必要があります。

 

日本のインフラでこうした攻撃事例は(まだ)聞いた事がありませんが、コロナ禍を受けてリモートメンテを拡充している(より重点を置いている)日本企業も多いかと思います。

SeucreAnywhere等もリモートアクセスルートが以前攻撃を受けて被害が出た事が報じられていましたが、「裏口」は狙われている、インフラだけではなくリモート接続(特にメンテナンス)は攻撃対象となりやすく、脆弱性を常にハッカー(攻撃者)は探している事には注意が必要であり、企業や組織はどういった外部接続がされているのか、チェック/棚卸しを継続的に行う事が重要かと思います。

foxsecurity.hatenablog.com

 

参考:海外のインフラ関連の攻撃

mainichi.jp

 

※2/12 海外関連記事を受けて追記します。

まずは原因部分について触れていた(噂がまとまっていた)HackersNewsの記事から。

thehackernews.com

これらのコンピューターは、32ビットバージョンのWindows 7オペレーティングシステムを実行しているだけでなく、リモートアクセス用に同じパスワードを共有しており、ファイアウォール保護がインストールされていない状態でインターネットに直接公開されていると言われています。

(The Hackersnewsより引用)※機械翻訳

※1年前にサポートが切れたWindows7も別な意味で問題な気がしますが、やはりパスワードが脆弱だった(上記記事では共有パスワード=パスワードの使い回しが示唆されています)点、もっと言えば上記記事に「2段階認証」が書かれていない点(=2段階認証になってなかった)が、狙われた可能性が高い気がします。

 

SHODANで検索(TeamViewer利用&日本)してみると、日本でも同様な攻撃リスクがありそうなポイントが、153出てききました

f:id:foxcafelate:20210212044758j:plain

 


セキュリティ業界のインフルエンサーKrebs氏も関連記事を書いてました。

※今回の攻撃は大きな影響がなく対応が出来たものの、更に深刻な事態に結び付いた可能性が十分ある事、及び、私と同じで「ランサム」だったら(更に)危険だった事を書いています。

※尚、Krebs氏の記事では詳細は書きませんが「リモートアクセスを保護する為のリスク評価」の重要性を強調しています。

krebsonsecurity.com

・米国には約54,000の異なる飲料水システムがあります。
・これらのシステムの大部分は50,000人未満の居住者にサービスを提供しており、その多くはわずか数百または数千人にサービスを提供しています。
事実上すべてが、これらの機能を監視および/または管理するために、ある種のリモートアクセスに依存しています
・これらの施設の多くは無人資金が不足しており、IT運用を24時間年中無休で監視している人がいません
・多くの施設では、侵入や潜在的に危険な変更を検出して警告する可能性のある安全システムから、運用技術(スイッチとレバーを制御するビット)を分離していません

(Krebs on Security記事より引用)※機械翻訳

※今回の件は、たまたま早い段階で気づけた(約1時間と言われています)だけである事がよく分かります。リモートアクセスの脆弱性は、恐らく今回の所だけではなく、ニュースを聞いた模倣犯の攻撃まで含めて、今後、インフラを攻撃してくる同様なケースは増えてくる気がします。

※怖いなと感じたのが、最後の文章です。多くの施設で監視システムと運用システムが同じ端末に”同居している”事を示唆しており、例えば不正侵入してすぐに監視ソフトを切ってしまうか、監視ソフトを妨害してから、本当の攻撃(水道水を汚染させる)を実施する事をやられると、かなり防衛側は厳しいかも知れません。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

浄水場のイラスト

 

更新履歴

  • 2021年2月10日 AM
  • 2021年2月12日 AM 海外記事を受けて追記