制御システムセキュリティニュース&ノート第55部

     

サイバー攻撃・マルウェア・脅威


■German military laptop with classified data sold on Ebay | DW.com(2020/3/16)
(Ebayで販売された機密データを備えたドイツ軍のラップトップ)
内部には、ドイツ軍が使用した移動式ミサイルシステムに関する機密文書があったという。
https://www.dw.com/en/german-military-laptop-with-classified-data-sold-on-ebay/

■Multiple DDoS Botnets Exploited 0-Day Flaws in LILIN DVR Surveillance Systems | The Hacker News(2020/3/21)
(複数のDDoSボットネットがLILIN DVR監視システムの0日欠陥を悪用)
Qihoo 360 の調査によると、台湾を拠点とするLILINによって製造された監視システム用のデジタルビデオレコーダー(DVR)の 複数のゼロデイ脆弱性がボットネットオペレーターによって悪用され、脆弱なデバイスを感染させてDoS用ボット化させられたという。
https://thehackernews.com/2020/03/ddos-botnets-lilin-dvr.html

■ZyxelのNASの脆弱性(CVE-2020-9054)を標的にした新しいMirai亜種、Mukashiが発見される | paloalto(2020/3/23)
https://unit42.paloaltonetworks.jp/new-mirai-variant-mukashi/

■Applying a Stuxnet Type Attack to a Modicon PLC | AIRBUS(2020/3/23)
(Stuxnetタイプの攻撃をModicon PLCに適用する)
Stuxnet は、EWS で使用されている DLL を書き換える攻撃(Reflective DLL という)を利用し、PLC に不正コマンドを送った。
この一連の攻撃手順を Schneider Modicon M340 PLC を用いて詳細なコードを付けて説明しており、非常に参考になる。
https://airbus-cyber-security.com/applying-a-stuxnet-type-attack-to-a-modicon-plc/

■FireEye warns about the proliferation of ready-made ICS hacking tools | ZDNet(2020/3/23)
(FireEyeは既製のICSハッキングツールの急増について警告します)
FireEyeの調査によると、ICS を狙う攻撃ツールは、既存のツールを組み合わせて構築されることが多く、Metasploit、Core Impact、Immunity Canvas 等の攻撃フレームワークにも ICS 固有の攻撃モジュールが充実してきており、注意すべきと述べている。
https://www.zdnet.com/article/fireeye-warns-about-the-proliferation-of-ready-made-ics-hacking-tools/
<参考>
・Monitoring ICS Cyber Operation Tools and Software Exploit Modules To Anticipate Future Threats | FireEye(2020/3/23)
https://www.fireeye.com/blog/threat-research/2020/03/monitoring-ics-cyber-operation-tools-and-software-exploit-modules.html

■WildPressure targets industrial-related entities in the Middle East | kaspersky(2020/3/24)
(WildPressureは中東の産業関連企業をターゲットにしています)
カスペルスキーが2019年8月に発見した Milum と呼ばれる C++ で実装されたトロイの木馬を利用したとされる WildPressure という攻撃グループについて解説している。
https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/

■Hacking isn't canceled: Chinese group attacked Citrix and Zoho during coronavirus lockdown | ZDNet(2020/3/25)
(ハッキングはキャンセルされません:中国のグループがコロナウイルスのロックダウン中にCitrixとZohoを攻撃しました)
APT41は、Citrix Netscaler、Ciscoルーター、およびZoho ManageEngine Desktop Centralの脆弱性を悪用し、攻撃を実施したという。
このキャンペーンは、重要インフラをターゲットにしているという。
https://www.zdnet.com/article/hacking-isnt-canceled-chinese-group-attacked-citrix-and-zoho-during-coronavirus-lockdown/

■Ameren Missouri supplier hit by ransomware attack amid growing concern for critical infrastructure | Utility Dive (2020/3/25)
(重要インフラへの懸念が高まる中、ミズーリ州のAmeren社のサプライヤーがランサムウェア攻撃を受けた)
オハイオ州に拠点を置くLTI Power Systemsは、2つの発電所でのアメレン・ミズーリ州のオペレーションに関連する回路図や図面にハッカーにアクセスされ、ランサムウェアによるデータ侵害の犠牲者となった。Ameren社によると、盗まれたデータは「当社の重要な業務や顧客の業務に関連する機密情報ではない」とのこと。
https://www.utilitydive.com/news/ameren-missouri-supplier-hit-by-ransomware-attack-amid-growing-concern-for/574823/

■Rare BadUSB attack detected in the wild against US hospitality provider | ZDNet(2020/3/26)
(米国のホスピタリティプロバイダーに対する希少なBadUSB攻撃が実際に検出されました)
攻撃者は、偽のBestBuyのギフトカードとUSBメモリを含む封筒を送り付け、攻撃を実施したという。
USBメモリを差し込むと、PowerShellコマンドのキー入力が実行され、PSスクリプトをダウンロードし、JSベースのマルウェアがインストールされたという。
https://www.zdnet.com/article/rare-badusb-attack-detected-in-the-wild-against-us-hospitality-provider/
<関連>
・Would You Exchange Your Security for a Gift Card? | Trustwave(2020/3/26)
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/would-you-exchange-your-security-for-a-gift-card/

■D-Link and Linksys routers hacked to point users to coronavirus-themed malware | ZDNet(2020/3/26)
(D-LinkおよびLinksysルーターがハッキングされ、ユーザーにコロナウイルスをテーマにしたマルウェアを示した)
攻撃者はルータのDNS設定を書き換え、コロナウイルスに関連するように見せかけるサイトに誘導し、マルウェアに感染させた。
攻撃者は、ブルートフォース攻撃でパスワードを特定したとされ、Oskiというマルウェアがインストールされるという。
https://www.zdnet.com/article/d-link-and-linksys-routers-hacked-to-point-users-to-coronavirus-themed-malware/

■Ransomware attacks vs Kimchuk, Visser reveal supply chain threat to DOD | SC Media (2020/3/27)
(ランサムウェア攻撃対Kimchuk, Visser。国防総省のサプライチェーンの脅威を明らかにする)
今月初めに電子機器メーカーのKimchukが攻撃を受け、同社の業務を混乱させ、恐喝の陰謀の一環としてオンラインで公開していた機密データを盗み出されたと報じられる。
コネチカット州ダンベリーを拠点とするKimchukは、主に軍事、医療、安全、エネルギー、通信業界向けにサービスを提供。
一方、サイバー犯罪組織は、航空宇宙、自動車、産業、製造業向けの部品メーカーや製造ソリューションを提供するVisser Precisionからも、今年初めに盗んだ情報も公開し続けている。
https://www.scmagazine.com/home/security-news/ransomware/ransomware-attacks-vs-kimchuk-visser-reveal-supply-chain-threat-to-dod/

     

セキュリティ対策・政策


■Building cybersecurity into health care facilities | health facilities management(2020/3/23)
(医療施設へのサイバーセキュリティの構築)
ASHE が医療機関のOTサイバーセキュリティのベストプラクティスフレームワークを作成。
https://www.hfmmagazine.com/articles/3863-building-cyber-risk-protection-into-high-tech-facilities
<関連>
・Best Practices Framework for Health Care Cyber-Physical Protection: For the Project Construction Team | ASHE(2020/3/23 accessed)
https://www.ashe.org/hdrcyber

■Critical Infrastructure Cybersecurity: Survey Finds Perfect Storm | Nozomi Networks (2020/3/23)
(重要インフラのサイバーセキュリティ。調査によると、完璧な嵐であることが判明)
重要インフラストラクチャのセキュリティを担当する415人の経営幹部を対象としたNewsweek VANTAGEのグローバル調査では、サイバーフィジカルシステムに対する総合的なアプローチの必要性を認識しているが、特にITやOTシステムに関しては、変革への文化的な抵抗を克服するのに苦労していることが分かった。
https://www.nozominetworks.com/blog/critical-infrastructure-cybersecurity-survey-finds-perfect-storm/

■令和2年度における電波資源拡大のための研究開発の基本計画書(案)に対する意見募集の結果及び提案の公募 | 総務省(2020/3/23)
「電波の有効利用のためのIoTマルウェア無害化/無機能化技術等に関する研究開発」という研究テーマが存在している。
https://www.soumu.go.jp/menu_news/s-news/01kiban09_02000340.html

■White House pushes for more telework as first DoD contractor dies because of COVID-19 | ZDNet(2020/3/24)
(COVID-19が原因で最初のDoD請負業者が死亡したため、ホワイトハウスはより多くのテレワークを要求)
https://www.zdnet.com/article/white-house-pushes-for-more-telework-as-first-dod-contractor-dies-because-of-covid-19/

■ITとOTの連携を重点項目に、IoTセキュリティチェックシートを改定 | MONOist (2020/3/24)
https://monoist.atmarkit.co.jp/mn/articles/2003/24/news043.html

■サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版 | IPA (2020/3/25)
サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化するためのサイバーセキュリティ経営ガイドラインベースの可視化ツール
https://www.ipa.go.jp/security/economics/checktool/index.html

■FBI Shuts Down Hacker Platform, Arrests Administrator | SecurityWeek(2020/3/25)
(FBIがハッカープラットフォームを閉鎖、管理者を逮捕)
FBI は、サイバー犯罪製品やサービスが販売されているロシアのオンラインプラットフォーム(DEER.IO)を停止し、ロシアのハッカーであるKirill Victorovich Firsov容疑者を逮捕した。
https://www.securityweek.com/fbi-shuts-down-hacker-platform-arrests-administrator

■Singapore most exposed, but also most prepared in cybersecurity: Deloitte | ZDNet(2020/3/26)
(シンガポールは最も危険にさらされているが、サイバーセキュリティにおいて最も準備されている:デロイト)
https://www.zdnet.com/article/singapore-most-exposed-but-also-most-prepared-in-cybersecurity-deloitte/

     

レポート・解説記事


■Solving Performance and Cybersecurity Challenges in Substation and Industrial Networks With Software-Defined Networking | Schweitzer Engineering Laboratories (2020/03/03)
(変電所および産業用ネットワークにおけるパフォーマンスとサイバーセキュリティの課題をSDNで解決)
https://cdn.selinc.com/assets/Literature/Publications/Technical%20Papers/6946_SolvingPerformance_TB_20200128_Web.pdf

■Approaches for Federal Agencies to Use the Cybersecurity Framework | NIST(2020/3/19)
(NISTIR 8170 連邦機関がサイバーセキュリティフレームワークを使用するためのアプローチ)
https://csrc.nist.gov/publications/detail/nistir/8170/final

■Newsweek Vantage report focuses on the human component of comprehensive security strategies for critical infrastructure | Industrial Cyber(2020/3/23)
(Newsweek Vantageレポートは、重要なインフラストラクチャの包括的なセキュリティ戦略の人間的要素に焦点を当てています)
調査対象となった415人の52%が、人(従業員を含む)を企業の運用上のセキュリティに対する最大の脅威として識別したと述べている。
https://industrialcyber.co/news/reports/newsweek-vantage-report-focuses-on-the-human-component-of-comprehensive-security-strategies-for-critical-infrastructure/

■クレジットカード取引等におけるセキュリティ対策の現状と 2020 年度以降の取組について~実行計画後の取組(ポスト 2020)~ | クレジット取引セキュリティ対策協議会(2020/3/24)
https://www.j-credit.or.jp/security/pdf/efforts_main_2020.pdf

■Cyberangriffe auf kritische Infrastrukturen sind besorgniserregender als Datenverstose | netzpalaver(2020/3/25)
(重要なインフラストラクチャへのサイバー攻撃は、データ侵害よりも心配です)
Claroty の調査より、ITセキュリティ専門家の 74% がデータ侵害より重要インフラへのサイバー攻撃が脅威と述べていると報告。
米国、イギリス、ドイツ、フランス、オーストラリアから合計1,000人のITセキュリティの専門家にインタビューした結果だという。
https://netzpalaver.de/2020/03/25/cyberangriffe-auf-kritische-infrastrukturen-sind-besorgniserregender-als-datenverstoesse/

■企業のCISO等やセキュリティ対策推進に関する実態調査 | IPA(2020/3/25)
2019年7月~2020年2月の期間で調査している。
人材確保、セキュリティ対策の促進、経営層との橋渡しを重要視されているという結果が出ている。
https://www.ipa.go.jp/security/fy2019/reports/2019DL_index.html

■Cyber Security Breaches Survey 2020 | UK Department for Digital, Culture, Media and Sport (2020/3/25)
(サイバーセキュリティ侵害調査2020)
サイバーセキュリティに関する企業や慈善団体の行動、サイバー侵害や攻撃のコストと影響について詳細に調査したもの。
<サマリ>
・組織は、時間の経過とともに、侵害や攻撃に対する耐性が高まっているが、ネガティブな結果をもたらす侵害は多額の費用が発生
・過去5年間で、サイバーセキュリティに対する取締役会の関与が高まり、サイバーリスクを特定して管理するための行動が増加
・監査、サイバー保険、サプライヤーリスク、違反報告など、さまざまなテーマについて、組織ができることはまだまだある
https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2020

■Most Security Pros Prefer Enterprise Over Industrial Cybersecurity: Survey | Security Week (2020/3/25)
(ほとんどのセキュリティプロが産業用サイバーセキュリティよりもエンタープライズを好む:調査)
産業用サイバーセキュリティ企業のClarotyが委託した1,000人のセキュリティ専門家を対象とした世界規模の調査では、70%以上の人が産業用セキュリティよりもIT企業のサイバーセキュリティの仕事に就きたいと考えていることが明らかになる。。。
https://www.securityweek.com/most-security-pros-prefer-enterprise-over-industrial-cybersecurity-survey
<レポート>
https://cdn2.hubspot.net/hubfs/2553528/The%20Global%20State%20of%20Industrial%20Cybersecurity%20-%20Final.pdf

■Understanding and Defending Against OT Supply Chain Risk | Claroty (2020/3/26)
(OTサプライチェーンリスクの理解と防御)
https://blog.claroty.com/understanding-and-defending-against-ot-supply-chain-risk

■金融サービス - 敵対的アカウント乗っ取り攻撃 | Akamai(2020/3/26)
https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-internet/soti-security-financial-services-hostile-takeover-attempts-report-2020.pdf

■Automotive Cyber Security: A Crash Course on Protecting Cars Against Hackers | hashedout (2020/3/26)
(自動車のサイバーセキュリティ。ハッカーから車を守るためのクラッシュコース)
現代の自動車には、ハッカーが攻撃できる最大50種類の自動車用IoTデバイスが搭載されているため、自動車の安全性を確保するためには、自動車のサイバーセキュリティが非常に重要。コネクテッドカーを新たなサイバーセキュリティの脅威から守る方法についての洞察
https://www.thesslstore.com/blog/automotive-cyber-security-a-crash-course-on-protecting-cars-against-hackers/

■More Engineers, Fewer Operators in ICS Future | Dale Peterson (2020/3/26)
(ICSの未来に向けて、より多くのエンジニア、より少ないオペレータ)
ICSの1~3年後は99%のオペレーター機能がコンピュータに取って代わられ、1%の重要な状況を処理する人がより重要で価値のあるものになると見ているとの予測
https://www.linkedin.com/pulse/more-engineers-fewer-operators-ics-future-dale-peterson/

■BASセキュリティ対策をどこまでやるか検討するための手法「CCE」とは何か? | IT media (2020/3/27)
https://built.itmedia.co.jp/bt/articles/2003/30/news020.html

■THE LOGIC BEHIND RUSSIAN MILITARY CYBER OPERATIONS | Booz Allen Hamilton (2020/3/29 accessed)
(ロシア軍のサイバー作戦の論理)
本報告書では、公共政策文書であるロシアの軍事ドクトリンに基づき、GRU の思考プロセスを説明するための一貫した 再利用可能な枠組みを示している
https://www.boozallen.com/c/insight/publication/the-logic-behind-russian-military-cyber-operations.html
<関連>
・Booz Allen analyzed 200+ Russian hacking operations to better understand their tactics | ZDNet(2020/3/27)
https://www.zdnet.com/article/booz-allen-analyzed-200-russian-hacking-operations-to-better-understand-their-tactics/

           

製品・サービス・取組み


■Insurance Giant Munich Re Invests in Rogue Device Mitigation Firm Sepio Systems | SecurityWeek(2020/3/25)
(保険大手のミュンヘン再保険会社が不正なデバイスの緩和企業であるSepio Systemsに投資)
https://www.securityweek.com/insurance-giant-munich-re-invests-rogue-device-mitigation-firm-sepio-systems

■ITとOTの連携を重点項目に、IoTセキュリティチェックシートを改定 | MONOist(2020/3/24)
日本スマートフォンセキュリティ協会(JSSEC)がIoTセキュリティチェックシート第2.1版を公開。
https://monoist.atmarkit.co.jp/mn/articles/2003/24/news043.html
<関連>
・JSSEC、『IoTセキュリティチェックシート 第2.1版』公開~ IoT機器利用におけるアンケート調査を実施 ~ | 日本スマートフォンセキュリティ協会(2020/3/24)
IT と OT 双方の項目をチェックできる内容にアップデートされているという。
解説集も詳細に説明されているのでチェックされたし!ヒポ!
https://www.jssec.org/report/20200227-1.html

■産業用ロボットの共通インタフェース「OPC UA for Robotics」が目指す世界 (1/3) | MONOist(2020/3/25)
OPC UA の成り立ちも解説されているので参考になるヒポ!
https://monoist.atmarkit.co.jp/mn/articles/2003/25/news006.html

■組み込み機器を偽造品から守るセキュリティ開発ツールの最新版を発表 | MONOist(2020/3/25)
https://monoist.atmarkit.co.jp/mn/articles/2003/25/news061.html

■セキュアな耐量子サイバーセキュリティを可能にするソリューションを導入 | MONOist(2020/3/26)
https://monoist.atmarkit.co.jp/mn/articles/2003/26/news059.html

        

カンファレンス・トレーニング・教育


■Vulnerability Management in OT | VERVE(2020/3/24 accessed)
(OTの脆弱性管理)
2020/4/9 に開催される VERVE 主催のウェビナー
https://zoom.us/webinar/register/4215850639624/WN_RPb64glxS_WXBxs-43Jn_Q

■Dragos Virtual ICS Roadshow Sponsored by SRP(2020/3/26 accessed)
(Dragos 仮想 ICS ロードショー)
2020/4/9 に開催される Dragos がメインで講演するウェビナー。
https://hub.dragos.com/dragos-virtual-ics-roadshow

■Tackling Cyber Threats Facing the ICS/SCADA Industry | Recorded Future(2020/3/26 accessed)
(ICS / SCADA業界が直面するサイバー脅威への取り組み)
2020/4/1 に開催される Recorded Future と Dragos がメインで講演するウェビナー。
https://go.recordedfuture.com/live-demo-gmt

■DISC - SANS Virtual Conference | SANS(2020/3/26 accessed)
(DISC - SANSバーチャル会議)
2020/5/1~5/2 に開催される SANS と Dragos がメインで講演するウェビナー。
https://ics-community.sans.org/t/p8hha59/disc-sans-virtual-conference

■ICS Europe Summit & Training 2020 | SANS(2020/3/26 accessed)
(ICSヨーロッパサミット&トレーニング2020)
ドイツにて、2020年6月8日~6月13日で開催される。
https://www.sans.org/event/ICSEurope-June-2020

      

脆弱性


■Vulnerability Summary for the Week of March 16, 2020 | CISA (2020/3/23)
(2020年3月16日週の脆弱性サマリ)
https://www.us-cert.gov/ncas/bulletins/sb20-083

■ICS Advisory (ICSA-20-084-01) / VISAM Automation Base (VBASE) | CISA (2020/3/24)
CVSS v3 9.0
https://www.us-cert.gov/ics/advisories/icsa-20-084-01

■ICS Advisory (ICSA-20-084-02) / Schneider Electric IGSS SCADA Software | CISA (2020/3/24)
CVSS v3 7.8
https://www.us-cert.gov/ics/advisories/icsa-20-084-02

■CODESYS V3 Unauthenticated Remote Heap Overflow | tenable(2020/3/25)
(CODESYS V3の認証されていないリモートヒープオーバーフロー)
CODESYS V3 Webサーバーに本脆弱性が存在。
2019/12 月に発見され、2020/3/25 にパッチリリースと共に勧告。
https://fr.tenable.com/security/research/tra-2020-16

■ICS Advisory (ICSA-20-086-01) / Advantech WebAccess | CISA (2020/3/26)
CVSS v3 8.8
https://www.us-cert.gov/ics/advisories/icsa-20-086-01

     

登録日時2020-03-29 23:32:26
更新日時2020-03-29 23:56:40