Comments
Description
Transcript
ビル管理システムに対する探索行為の検知について [PDF: 約
Distributed via http://www.npa.go.jp/cyberpolice/ 平 成 26 年 4月 4日 Topic ビル管理システムに対する探索行為の検知について ビル管理システムを探索していると考えられるパケットを検知しています。ビル管理システ ムが攻撃を受けた場合、システムを任意に操作される恐れがあります。事前に必要な対策を 実施することを推奨します。 1 宛先ポート 47808/UDP に対するアクセスの検知について 警察庁の定点観測システムでは、3 月中旬以降、宛先ポート 47808/UDP に対するアクセ スを検知しています(図1)。47808/UDP は、ビル管理システムで使用される通信プロトコル 用標準規格「BACnet」で定義されているポートであり、このアクセスは、BACnet に基づいて 構成されたシステム(BACnet システム)を探索している可能性があります。 2月1日 2月3日 2月5日 2月7日 2月9日 2月11日 2月13日 2月15日 2月17日 2月19日 2月21日 2月23日 2月25日 2月27日 3月1日 3月3日 3月5日 3月7日 3月9日 3月11日 3月13日 3月15日 3月17日 3月19日 3月21日 3月23日 3月25日 3月27日 3月29日 3月31日 4月2日 (件/日・IPアドレス) 1 0.9 0.8 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0 米国 オーストリア 図1 宛先ポート 47808/UDP に対する発信元国・地域別アクセス件数の推移 (H26.2.1~H26.4.3) 同アクセスを分析したところ、BACnet システムに接続された機器の情報を確認する 「Read-Property」のパケットであり、BACnet システムの探索行為であると考えられます。過 去には、BACnet に関連するソフトウェアの脆弱性が報告されており1,2、攻撃を行うための調 査を行っている可能性も考えられます。 1 2 「JVNVU#757804 Cisco Network Building Mediator 製品群に複数の脆弱性」(平成 22 年6月3日) https://jvn.jp/vu/JVNVU757804/ 「JVNVU#660688 SCADA Engine BACnet OPC Client におけるバッファオーバーフローの脆弱性」(平成 23 年2 月7日) https://jvn.jp/vu/JVNVU660688/ Copyright 2014 Cyber Force Center, NPA JAPAN 2 攻撃者によるビル管理システムへの侵入 ビル管理システムは、インターネットを介した遠隔監視等が可能です。適切な対策を施さ ずにビル管理システムをインターネットに接続している場合、攻撃者に進入され、システムを 任意に操作される恐れがあります。 防犯・防災設備 エレベーター 照明システム 空調システム BACnet 電源設備 遠隔監視卓 インターネット 中央監視室 図2 攻撃者によるビル管理システムへの侵入 3 推奨する対策 今後、BACnet に留まらず、ビル管理システムを対象とした探索活動や攻撃が発生するこ とも懸念されるため、ビル管理システムの管理者は、以下の対策を実施することを推奨しま す。 (1) 使用製品の最新セキュリティ情報の確認 ア ソフトウェアのアップデート イ ハードウェアのファームウェア更新 (2) インターネットへの不要な公開の停止 インターネット上から、システムにアクセスする必要がない場合には、インターネットへ の公開を停止する。 (3) ネットワークセキュリティの確認 外部からの接続に対して、適切なアクセス制限が設定されているか確認する。 Copyright 2014 Cyber Force Center, NPA JAPAN