制御システムセキュリティニュース&ノート第79部

      

サイバー攻撃・マルウェア・脅威


■Ransomware hits two state-run organizations in the Middle East and North Africa | cyberscoop(2020/9/4)
(ランサムウェアが中東と北アフリカの2つの国営組織を襲う)
Paloalto の unit42 の研究者が発見し、このランサムウェアは起動プロセスを妨害するように設計されていたという。
https://www.cyberscoop.com/ransomware-thanos-middle-east-palo-alto_networks/

■SunCrypt Ransomware shuts down North Carolina school district | BleepingComputer(2020/9/4)
(SunCrypt Ransomwareがノースカロライナの学区を閉鎖)
2020/8/24 にランサムウェアの攻撃を受け、学校は 8/31 に再開したが、ITシステムはまだ完全には復旧していないという。
また、支払いに応じなかったため、攻撃者は 5GB ものデータを公開したという。
https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-shuts-down-north-carolina-school-district/

■Netwalker ransomware hits Argentinian government, demands $4 million | BleepingComputer(2020/9/6)
(Netwalkerランサムウェアがアルゼンチン政府を襲い、400万ドルを要求)
2020/8/27 に攻撃を受けたことを検知したという。
政府関係者はデータ復旧はしない方向で検討しているという。
https://www.bleepingcomputer.com/news/security/netwalker-ransomware-hits-argentinian-government-demands-4-million/

■Chilean bank shuts down all branches following ransomware attack | ZDNet(2020/9/7)
(チリの銀行がランサムウェア攻撃に続いてすべての支店を閉鎖)
BAncoEstado 銀行は、REvil(Sodinokibi)というランサムウェアに感染したとされ、内部のITシステムの大部分のデータを暗号化されたという。
REvil はリークサイトを公開しており、このリークサイトに当銀行の名前がないことから、銀行とハッカーは何らかの交渉をしたとされている。
https://www.zdnet.com/article/chilean-bank-shuts-down-all-branches-following-ransomware-attack/

■DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為 (DDoS 脅迫) について | JPCERT/CC(2020/9/7)
https://www.jpcert.or.jp/newsflash/2020090701.html

■France, Japan, New Zealand warn of sudden spike in Emotet attacks | ZDNet(2020/9/8)
(フランス、日本、ニュージーランド、Emotet攻撃の急増を警告)
https://www.zdnet.com/article/france-japan-new-zealand-warn-of-sudden-spike-in-emotet-attacks/

■Netwalker ransomware hits Pakistan's largest private power utility | Bleeping Computer (2020/9/8)
(Netwalkerランサムウェアがパキスタン最大の民間電力会社を襲う)
オンライン課金サービスが中断。電力供給には影響なし
https://www.bleepingcomputer.com/news/security/netwalker-ransomware-hits-pakistans-largest-private-power-utility/

■University warns that 'serious cyber incident' could take weeks to fix | ZDNet(2020/9/8)
(大学は「深刻なサイバー事件」が修正するのに数週間かかる可能性があると警告している)
ニューカッスル大学のITシステムにランサムウェア(DoppelPaymer)が感染し、学生の個人データを公開すると脅迫されているという。
https://www.zdnet.com/article/university-warns-that-serious-cyber-incident-could-take-weeks-to-fix/

■City of Hartford postpones first day of school after ransomware attack | ZDNet(2020/9/8)
(ハートフォード市、ランサムウェア攻撃のための学校初日を延期)
学校のいくつかのITシステムやスクールバスのシステムにも影響を与えたという。
https://www.zdnet.com/article/city-of-hartford-postpones-first-day-of-school-after-ransomware-attack/

■Clark County Schools Reports Computer Ransomware Attack | SecurityWeek(2020/9/9)
(クラーク郡の学校がコンピュータランサムウェア攻撃を報告)
2020/8/27 にランサムウェア感染したという。
情報が窃取されたかは不明だという。
https://www.securityweek.com/clark-county-schools-reports-computer-ransomware-attack

■Iranian Hackers Launch Dharma Ransomware Attack on Global Firms | Kratikal Blog(2020/9/9)
(イランのハッカーがグローバル企業にダルマランサムウェア攻撃を仕掛ける)
https://www.kratikal.com/blog/iranian-hackers-launch-dharma-ransomware-attack-on-global-firms/

■2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など | TrendMicro(2020/9/11)
https://blog.trendmicro.co.jp/archives/26021

■Data Center Provider Equinix Hit by Ransomware | SecurityWeek(2020/9/11)
(データセンター大手の Equinix にランサムウェアがヒット)
顧客データには影響はなかったという。
ただし、攻撃者はサーバから機密データを収集できたとされ、450万ドルの身代金を要求しているという。
https://www.securityweek.com/data-center-provider-equinix-hit-ransomware

■Russian Military Hackers Targeted Credentials at Hundreds of Organizations in US, UK | SecurityWeek(2020/9/11)
(ロシアの軍事ハッカーは、米国、英国の数百の組織で認証情報を標的にしました)
マイクロソフトが APT28(Strontium)の活動について報告。
Office365 の認証情報を収集することが焦点を当てた攻撃が実施されているとのこと。
https://www.securityweek.com/russian-military-hackers-targeted-credentials-hundreds-organizations-us-uk

■Iran Says US Vote Hack Allegation 'Absurd' | SecurityWeek(2020/9/11)
(イランは米国の投票ハッキングの申し立ては「不条理」と言います)
マイクロソフトがイランの Phosphorus というグループが攻撃を実施していると報告。
https://www.securityweek.com/iran-says-us-vote-hack-allegation-absurd

■Researcher kept a major Bitcoin bug secret for two years to prevent attacks | ZDNet(2020/9/12)
(研究者は攻撃を防ぐためにビットコインの主要なバグを2年間秘密にしていた)
2018年に発見されていた INVDoS というバグにより、攻撃者はビットコインノードや他の同様のブロックチェーンをクラッシュさせることができたという。
https://www.zdnet.com/article/researcher-kept-a-major-bitcoin-bug-secret-for-two-years-to-prevent-attacks/

     

セキュリティ対策・政策


■サイバーフィジカルシステムのセキュリティインシデント、CEO個人が責任を負う可能性--Gartner | ZDNet Japan (2020/9/7)
https://japan.zdnet.com/article/35159166/

■Singapore to begin nationwide distribution of COVID-19 contact tracing wearables | ZDNet(2020/9/9)
(シンガポール、COVID-19接触追跡ウェアラブルの全国配布を開始)
https://www.zdnet.com/article/singapore-to-begin-nationwide-distribution-of-covid-19-contact-tracing-wearables/

■Now Amazon adds ex-NSA chief Keith Alexander to its board | ZDNet(2020/9/10)
(アマゾンが元NSAのキースアレクサンダーを取締役に追加)
https://www.zdnet.com/article/now-amazon-adds-ex-nsa-chief-keith-alexander-to-its-board/

■サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の取組強化 | 総務省(2020/9/11)
変更箇所は次の通りである。
1. 特定アクセス行為(調査のために機器にID/passwordを入寮する行為)において入力する識別符号(ID・パスワード)の追加
2. 特定アクセス行為の送信元のIPアドレスの追加(41個→54個)
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00079.html

■Zoom Rolls Out 2FA Support for All Accounts | SecurityWeek(2020/9/11)
(Zoomがすべてのアカウントの2FAサポートをロールアウト)
https://www.securityweek.com/zoom-rolls-out-2fa-support-all-accounts

■University Project Tracks Ransomware Attacks on Critical Infrastructure | SecurityWeek(2020/9/12)
(大学プロジェクトが重要インフラストラクチャへのランサムウェア攻撃を追跡)
テンプル大学の研究者が実施しているという。
https://www.securityweek.com/university-project-tracks-ransomware-attacks-critical-infrastructure

     

レポート・解説記事


■Cybersecurity - the new dimension of automotive quality | Kaspersky (2020/9/4)
(サイバーセキュリティ - 自動車品質の新次元)
https://www.kaspersky.com/blog/cybersecurity-automotive/36924/

■産業用アプリストアの脆弱性を悪用したワークステーションからの侵入 (1/2) | MONOist(2020/9/7)
https://monoist.atmarkit.co.jp/mn/articles/2009/07/news003.html

■CEOs Could Be Held Personally Liable for Cyberattacks that Kill | threatpost(2020/9/7)
(CEOは、殺害するサイバー攻撃に対して個人的に責任を問われる可能性がある)
ガートナーの調査より、2024年までに産業・ヘルスケアへのサイバー攻撃の増加するとされ、CEO はサイバーセキュリティ対策の問題について責任を深く問われるという。
https://threatpost.com/ceos-personally-liable-cyberattacks-kill/158990/

■Cybersecurity Across OT/ICS Environments | Mainline(2020/9/8)
(OT / ICS環境全体のサイバーセキュリティ)
OT/ICSセキュリティについての解説記事。
https://mainline.com/cybersecurity-across-ot-ics-environments/

■Monitoring Industrial IoT/Scada Traffic with nDPI and ntopng | ntop(2020/9/8)
(nDPIおよびntopngによる産業用IoT / Scadaトラフィックの監視)
ntop社が提供している ntopng を利用し、ICS プロトコルの通信を監視するという記事。
ntopng が内部で利用している nDPI というパケット検出機能がいくつかの ICS プロトコルにも対応しているため、それらを活用してみたという内容。
https://www.ntop.org/ndpi/monitoring-industrial-iot-scada-traffic-with-ndpi-and-ntopng/
<関連>
・nDPI | ntop(2020/9/11 accessed)
nDPI が対応しているプロトコル一覧
https://www.ntop.org/products/deep-packet-inspection/ndpi/

■Chinese cyber power is neck-and-neck with US, Harvard research finds | Cyber Scoop (2020/9/8)
(中国のサイバーパワーは米国と首を並べている、ハーバード大学の研究が発見)
ハーバード大学の調査によると、中国が3つの主要なカテゴリーで米国とのギャップを埋めたとのこと。日本もTOP10入り。。。
https://www.cyberscoop.com/chinese-cyber-power-united-states-harvard-belfer-research/

■制御システムのセキュリティリスク分析ガイド補足資料:「制御システム関連のサイバーインシデント事例」シリーズ(事例6, 7) | IPA (2020/9/8)
2018年 半導体製造企業のランサムウェアによる操業停止 2020年 医療関連企業のランサムウェアによる業務停止 追加!!
https://www.ipa.go.jp/security/controlsystem/incident.html

■Industrial Control System Cybersecurity in the Oil & Gas Industry | INdustrial Defender(2020/9/10 accessed)
(石油・ガス産業における産業用制御システムのサイバーセキュリティ)
ICS/OTセキュリティと脅威について最新動向も踏まえて簡略に解説しているレポート。
https://www.industrialdefender.com/industrial-control-system-cybersecurity-oil-gas/

           

製品・サービス・取組み


■OT Cyber ThreatCADET Mobile Training Unit. | Applied Risk(2020/9/8 accessed)
(OT Cyber ThreatCADET モバイルトレーニングユニット。)
Applied Risk が提供する ICS セキュリティトレーニングキット。
https://applied-risk.com/ot-cyber-security-training/threat-cadet

■IntelliSense.io joins OTCSA to address cybersecurity risks for Mining Industry's IT/OT convergence | IntelliSense.io(2020/9/9)
(IntelliSense.ioがOTCSAに参加して、鉱業のIT / OTコンバージェンスのサイバーセキュリティリスクに対処)
https://www.intellisense.io/news/intellisenseio-joins-otcsa-to-address-cybersecurity-risks-for-mining-industrys-itot-convergence

■Copperbelt Energy Corporation Plc | DarkTrace(2020/9/9 accessed)
(Copperbelt Energy Corporation Plc)
DarkTrace を電力会社に導入し、SCADA ネットワークを SOC で監視している実例。
https://www.darktrace.com/en/resources/cs-copperbelt-energy.pdf

■YubiKey 5C NFC: The USB security key that everyone's been waiting for | ZDNet(2020/9/9)
(YubiKey 5C NFC:誰もが待ち望んでいたUSBセキュリティキー)
USB Type C と NFC が備わったセキュリティキーとのこと。
https://www.zdnet.com/article/the-usb-security-key-that-everyone-has-been-wanting/

■ThreatGEN Red vs. Blue 1.4 has arrived | ThreatGEN(2020/9/9)
(ThreatGEN Red vs. Blue 1.4が登場)
OTセキュリティ企業である ThreatGEN が Red vs Blue というセキュリティシミュレーションのバージョン 1.4 をリリースした。
STEAM からダウンロードできる。
サンプル動画を確認する限り、かなり面白そうであり、サイバーセキュリティの勉強にもなるゲームであると思われる。
https://threatgen.com/threatgen-red-vs-blue-1-4-has-arrived/

■Juniper Networks lanceert Converged Industrial Edge | Executive People (2020/9/10)
Juniper Networksは、SELとDragosとともに、通信アーキテクチャーのコンバージドインダストリアルエッジを導入
https://executive-people.nl/656874/juniper-networks-lanceert-converged-industrial-edge.html

■Claroty and Check Point Software Technologies Partner to Secure Industrial Control Networks | itwire (2020/9/10)
(ClarotyとCheck Point Software Technologiesが提携し、産業用制御ネットワークの安全性を確保)
https://www.itwire.com/security/claroty-and-check-point-software-technologies-partner-to-secure-industrial-control-networks.html

■Attaques sur les infrastructures OT - Le risque est bien reel | Datacenter-Magagine(2020/9/11)
(OTインフラストラクチャへの攻撃-リスクは非常に現実的です)
https://datacenter-magazine.fr/attaques-sur-les-infrastructures-ot-le-risque-est-bien-reel/

■ブロックチェーンによるデータ通信のIoT機器認証基盤で有効性を確認 | MONOist(2020/9/11)
https://monoist.atmarkit.co.jp/mn/articles/2009/11/news054.html

■Toyota Safety Sense「C」が歩行者検知に対応、販売店でのソフト更新で | MONOist(2020/9/11)
昼間の歩行者の検知機能を追加できるらしいヒポ。
https://monoist.atmarkit.co.jp/mn/articles/2009/11/news047.html

        

カンファレンス・トレーニング・教育


■[LIVE WEBINAR] Remote Access Connections & Compliance for OT Networks | SCADAfence(2020/9/7)
([ライブウェビナー] OTネットワークのリモートアクセス接続とコンプライアンス)
2020/9/9 に開催されるウェビナー。
https://scadafence.zoom.us/webinar/register/WN_q4RiGkTRT82ElRDkqoRHzQ

■【JSS2020無料オンラインセミナー】セキュアなIoTサービス実現に向けたライフサイクルマネジメントのポイントとは:サイバートラスト株式会社 | PRTIMES(2020/9/7)
https://prtimes.jp/main/html/rd/p/000000028.000030782.html

■IoT Sichere industrielle Digitalisierung | Theiners SecurityTalk | XING(2020/9/8 accessed)
(IoTセキュア産業用デジタル化| Theiners SecurityTalk)
2020/9/9 に開催されるウェビナー。
https://www.xing.com/events/iot-sichere-industrielle-digitalisierung-theiners-securitytalk-3075743

■第13回CSA関西勉強会「工場セキュリティ」 | CSAJC(2020/9/8 accessed)
2020/10/6 に開催されるオンライン講演会。
https://www.cloudsecurityalliance.jp/site/?page_id=14288

■Securing your ICS Supply Chain - How to Thwart Attackers and Satisfy Regulators | IIoT World(2020/9/8 accessed)
(ICSサプライチェーンの保護- 攻撃者を阻止し、規制当局を満足させる方法)
2020/10/8 に開催されるウェビナー。
https://iiot-world.com/nerc-cip-cybersecurity-compliance-supply-chain-standards/

■Hack the Capitol 3.0 | ICS Village(2020/9/9 accessed)
(国会議事堂のハック 3.0)
2020/9/16 に開催されるバーチャルカンファレンス。
https://www.icsvillage.com/schedule-hack-the-capitol-2020

      

脆弱性


■ICS Vendors Release Advisories for CodeMeter Vulnerabilities | SecurityWeek(2020/9/11)
(ICSベンダーがCodeMeterの脆弱性に関するアドバイザリーをリリース)
Claroty の研究者がプロテクトツールである Wibu-Systems の CodeMeter に複数の脆弱性が存在することを報告。
Wibu-Systems は、本脆弱性に対応したパッチをリリースしている。
https://www.securityweek.com/ics-vendors-release-advisories-codemeter-vulnerabilities
<関連>
・VENDORS AFFECTED BY WIBU CODEMETER VULNERABILITIES | Claroty(2020/9/8)
(WIBU CODEMETERの脆弱性の影響を受けるベンダー)
https://www.claroty.com/2020/09/08/blog-research-vendors-affected-by-wibu-codemeter-vulnerabilities/
・Critical Flaws in 3rd-Party Code Allow Takeover of Industrial Control Systems | threatpost (2020/9/9)
(サードパーティのコードに重大な欠陥があり、産業用制御システムの乗っ取りを許す)
ロックウェル・オートメーションやシーメンスなどのトップ ICS ベンダーが使用しているサードパーティの産業用コンポーネントに重大な脆弱性があるとのこと。
https://threatpost.com/severe-industrial-bugs-takeover-critical-systems/159068/

■Vulnerability Summary for the Week of August 31, 2020 | CISA (2020/9/7)
(2020年8月31日週の脆弱性サマリ)
https://us-cert.cisa.gov/ncas/bulletins/sb20-251

■ICS Advisory (ICSA-20-252-01) / Siemens SIMATIC RTLS Locating Manager | CISA (2020/9/8)
CVSS v3 8.4
https://us-cert.cisa.gov/ics/advisories/icsa-20-252-01

■ICS Advisory (ICSA-20-252-02) / Siemens SIMATIC S7-300 and S7-400 CPUs | CISA (2020/9/8)
CVSS v3 5.3
https://us-cert.cisa.gov/ics/advisories/icsa-20-252-02

■ICS Advisory (ICSA-20-252-03) / Siemens License Management Utility | CISA (2020/9/8)
CVSS v3 7.8
https://us-cert.cisa.gov/ics/advisories/icsa-20-252-03

■ICS Advisory (ICSA-20-252-04) / Siemens Spectrum Power | CISA (2020/9/8)
CVSS v3 3.7
https://us-cert.cisa.gov/ics/advisories/icsa-20-252-04

■ICS Advisory (ICSA-20-252-06) / Siemens SIMATIC HMI Products | CISA (2020/9/8)
CVSS v3 6.5
https://us-cert.cisa.gov/ics/advisories/icsa-20-252-06

■ICS Advisory (ICSA-20-252-07) / Siemens Industrial Products | CISA (2020/9/8)
CVSS v3 5.5
https://us-cert.cisa.gov/ics/advisories/icsa-20-252-07

■ICS Advisory (ICSA-20-252-08) / Siemens Polarion Subversion Webclient | CISA (2020/9/8)
CVSS v3 8.1
https://us-cert.cisa.gov/ics/advisories/icsa-20-252-08

■ICS Advisory (ICSA-20-203-01) / Wibu-Systems CodeMeter | CISA (2020/9/8)
CVSS v3 10.0
https://us-cert.cisa.gov/ics/advisories/icsa-20-203-01

■ICS Medical Advisory (ICSMA-20-254-01) / Philips Patient Monitoring Devices | CISA (2020/9/10)
CVSS v3 6.8
https://us-cert.cisa.gov/ics/advisories/icsma-20-254-01

■ICS Advisory (ICSA-20-254-01) / AVEVA Enterprise Data Management Web | CISA (2020/9/10)
CVSS v3 9.6
https://us-cert.cisa.gov/ics/advisories/icsa-20-254-01

■ICS Advisory (ICSA-20-254-02) / FATEK Automation PLC WinProladder | CISA (2020/9/10)
CVSS v3 7.8
https://us-cert.cisa.gov/ics/advisories/icsa-20-254-02

■ICS Advisory (ICSA-20-254-03) / HMS Networks Ewon Flexy and Cosy | CISA (2020/9/10)
CVSS v3 2.3
https://us-cert.cisa.gov/ics/advisories/icsa-20-254-03

■BLURtooth vulnerability lets attackers overwrite Bluetooth authentication keys | ZDNet(2020/9/9)
(BLURtoothの脆弱性により、攻撃者はBluetooth認証キーを上書きできます)
Bluetooth4.0~5.0を使用するすべてのデバイスは、本脆弱性の対象だという。
なお、本脆弱性のパッチはまだ出ていないという。
https://www.zdnet.com/article/blurtooth-vulnerability-lets-attackers-overwrite-bluetooth-authentication-keys/

■Raccoon attack allows hackers to break TLS encryption 'under certain conditions' | ZDNet(2020/9/9)
(アライグマ攻撃により、ハッカーは「特定の条件下で」TLS暗号化を解読できる)
https 通信の Diffie-Hellman 鍵交換プロセスの情報を利用し、暗号化を解読するとのこと。
https://www.zdnet.com/article/raccoon-attack-allows-hackers-to-break-tls-encryption-under-certain-conditions/

     

登録日時2020-09-13 23:09:36
更新日時2020-09-13 23:15:53