Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

水供給業者は侵入者を9か月検出できなかった

つぶやいてみた。 不正アクセス事件 海外事件

オーストラリアのクイーンズランド州の水供給業者のサーバーハッキングは9か月続いた様ですが、機密データ漏えいや水供給への影響は”たまたま”無かった様です。

www.bleepingcomputer.com

SunWaterは、19の主要なダム、80のポンプ場、および1,600マイルの長さのパイプラインの運用を担当するオーストラリア政府所有の水供給業者です。

昨日クイーンズランド州監査局が発行した年次会計監査報告書によると、SunWaterは9か月間違反され、関係者は常に検出されていませんでした。

報告書は実体を直接 指名していませんが、  ABCオーストラリアは当局に質問し、それがSunWaterであることを確認しました。

違反は2020年8月から2021年5月の間に発生し、攻撃者は水供給業者がカトマー情報を保存するために使用するWebサーバーにアクセスすることができました。

 

元ソース

FINANCIAL AUDIT(Water2021), 2021/11/10

 

キタきつねの所感

水道施設は米国で何度か”攻撃”を受け、多くの国で水資源(重要インフラ)をサイバー攻撃から守る機運が高まっていますが、オーストラリアの年次監査報告書は、まだまだ脆弱な所がありそうな事を予感させます。

 

被害を受けていたのは、オーストラリアのクイーンズランド州にあるSunWater社の様です。関連するリリースは特に出て無い様ですが、一歩間違えば、ゴールドコースト辺りのリゾート地も大きな影響を受けていたかも知れないと考えると、”危なかった”気がします。

f:id:foxcafelate:20211112115146p:plain

水施設を狙った攻撃は、今年2月に発生した米フロリダ州タンパ近郊施設への攻撃(水酸化ナトリウム濃度が100倍に書き換えられた事件)が話題となりましたが、2020年には失敗に終わりましたがイスラエルでも複数回のハッキング被害を受けたと言われており、私たちの生活を支える重要インフラであるだけに、そのセキュリティ体制の見直し・強化が必要と認識され始めています。

水道施設に「毒混入」狙ったサイバー攻撃、お粗末すぎるセキュリティーの恐怖 | 日経クロステック(xTECH)

 

ハッカーは、2020年8月~2021年5月の間に、同社のWebサーバーに侵入していた様ですが、このサーバーは水道業者の顧客情報を保持していたとされます。当然の事ながら、顧客の個人情報が漏洩したのかと思いきや、”目的が違った”様で、顧客情報や決済情報などが窃取された形跡はなかった様です。

 

どうやら、「オンラインビデオプラットフォーム」への(閲覧者の)誘導の目的マルウェアを仕掛けた様です。(※SunWater社は、かなりラッキーだった気がします)

ハッカーは、オンラインビデオプラットフォームへの訪問者のトラフィックを増やすためにカスタムマルウェアを仕掛けただけなので、機密データの漏洩には関心がなかったようです。

(Bleeping Computer記事より引用)※機械翻訳

 

 

どうやってシステムに侵入したのか、すなわち初期侵入手口については、記事では以下の様に書いており、古いバージョンのソフトの脆弱性を突かれ、管理者権限が奪取された事によって不正アクセスされた事を伺わせます。

レポートは、アクターがシステムの古くて脆弱なバージョンを侵害し、最新のはるかに安全なWebサーバーをそのままにしておくことを強調しています。

最後に、このレポートでは、ユーザーにジョブの実行に必要な最小限のアクセス権を与えるなど、適切なアカウントセキュリティ慣行がないという問題が提起されています。

代わりに、SunWaterには複数のシステムにアクセスできる複数のユーザーアカウントがあり、単一の侵害ポイントの場合のリスクが高まりました。

 

(Bleeping Computer記事より引用)※機械翻訳

 

あまり高度な攻撃だったという訳ではない様です。古いバージョンをShodanの様なツールで既知の脆弱性を探しブルートフォース(総当たり)攻撃をかける、といった手法が使われたのかと想像しますが、もう1つ気になったのは共通IDが使われていた事です。

 

公的インフラに携わる企業では、民間よりも”危機感”がない方が多い気がしますが(個人の印象です)、パッチ当ては遅れ、認証情報も”楽”をして設定し、監視もせずに9か月も内部に入られた事を気づけなかった事は、やはり自分たちが守るべき”資産”に対する認識が薄いのではないかと思います。

とは言え、同社はかなりの数の施設を抱えている様ですので、管理者の業務を考えると、面倒なので共通ID(共通パスワード)にしたくなる気持ちは分からなくもないのですが、インシデントが発生した際に、管理者としての責任が厳しく問われる事になりますので、パスワード管理ソフト(ブラウザ記憶)等を利用する事も含めて、一意で複雑なID/パスワード運用を実施すべきであり、可能であれば多要素認証に可及的速やかに切り替えていくべきかと思います。

SunWaterは、19の主要なダム、80のポンプ場、および1,600マイルの長さのパイプラインの運用を担当するオーストラリア政府所有の水供給業者です。

(Bleeping Computer記事より引用)※機械翻訳

 

元ソースのレポートにも、対策不備(推奨対策)が挙げられています。どれもセキュリティ担当の方であれば、当たり前の事と認識している内容ばかりかと思いますが、実施されていない『現場』があるという視点で、自社(自部門)の運用を見直してみるのも良いかと思います。

このレポートには、潜在的なセキュリティの脅威とイベントを検出して報告するためのセキュリティ監視システムの実装、一般に公開されているすべての外部システムでの多要素認証の採用、実装など、「実行する必要のあるさらなるアクション」も記載されています。

推奨事項に沿った強力なパスワード慣行、必須のサイバーセキュリティ認識トレーニンの実装、重大なセキュリティの脆弱性を特定するためのポリシーとプロセスの実装。

Securty Affairs記事より引用)※機械翻訳

 

余談です。今年5月~8月にかけての調査レポートでRDPにグローバル動向として、RDPへのブルートフォース攻撃が顕著だった様です。時期も攻撃対象も違いますが、同じ手法で重要インフラも狙われた、そう考えるとどの業界でも潜在的脆弱性を抱えている気がしますので、自社の外部接続部分を警戒する事が、やはり重要な気がします。

www.security-next.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 水道管の凍結のイラスト

 

更新履歴

  • 2021年11月12日 PM