TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Compromise of U.S. Water Treatment Facility

【ニュース】

◆Compromise of U.S. Water Treatment Facility (CISA, 2021/02/11)
[米国の水処理施設の妥協点]
https://www.mass.gov/doc/joint-fbi-cisa-cybersecurity-advisory-on-compromise-of-water-treatment-facility/downlo


【関連まとめ記事】

全体まとめ
 ◆インシデント (まとめ)
  ◆2021年のインシデント (まとめ)

◆2021年2月のインシデント (まとめ)
https://malware-log.hatenablog.com/entry/Incident_202102


【翻訳】

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
米国の水処理施設の妥協点
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

サマリー

2021年2月5日、正体不明のサイバーアクターが監督官庁への不正アク
セスを取得した。米国の飲料水処理プラントの制御・データ収集(SC
ADA)システムを開発しました。システムの 正体不明の人物がSCADA
システムのソフトウェアを使用して水酸化ナトリウムの量を増やしま
した。水処理工程の一部として、苛性化学物質である灰汁とも呼ばれ
ています。水処理プラント 担当者は直ちに投与量の変化に気付き、
問題を修正しました。この操作をSCADAシステムのソフトウェアが検
知し、不正な変更があったために警報を発しました。その結果、水処
理プロセスは影響を受けず、通常通りに稼働し続けました。サイバー
犯罪者は、以下のようなサイバーセキュリティの弱点を悪用してシス
テムにアクセスした可能性が高いです。パスワードのセキュリティ、
および古いオペレーティング・システム。初期の情報では デスクト
ップ共有ソフトウェア(TeamViewerなど)が使用され、不正アクセス
を受けた可能性があります。システムを利用しています。事件の現場
対応には、ピネラス郡保安官事務所(PCSO)、米国シークレットサー
ビス(USSSS)、連邦捜査局(FBI)が参加しました。シークレットサ
ービス(USSSS)、連邦捜査局(FBI)が参加しました。

FBI、Cybersecurity and Infrastructure Security Agency (CISA)、
Environmental Protection (環境保護) EPA(米国環境保護庁)と多
州間情報共有・分析センター(MS-ISAC)は デスクトップ共有ソフト
ウェアやコンピュータネットワークを標的とし、悪用するサイバー犯
罪者を観察しました。システムへの不正アクセスを防ぐために、使用
期限が切れたオペレーティング・システムを実行しています。デスク
トップ テレワークやリモートテクニカルなど、複数の正当な用途を
持つ共有ソフトウェア また、悪意のある行為者がソーシャルエンジ
ニアリングを利用することで悪用されることもあります。戦術やその
他の不正な手段を講じる。Windows 7 は、以下のような問題を抱えて
いるため、悪用されやすくなるでしょう。セキュリティアップデート
の更新と新たな脆弱性の発見 マイクロソフトをはじめとする業界の
専門家は、コンピュータシステムを積極的にサポートされているオペ
レーティング・システムにアップグレードすることを強く推奨します
。システムを使用しています。企業内でのOSの使用状況が終了した後
も継続して使用していること サイバー犯罪者にコンピュータシステ
ムへのアクセスを提供する可能性があります。


脅威の概要

デスクトップ共有ソフトウェア


FBI、CISA、EPA、MS-ISACは、腐敗したインサイダーや外部のサイバ
ーアクターが、以下を使用していることを観察してきました。デスク
トップ共有ソフトウェアを使用して、重要な組織を含む様々な組織の
ターゲットを犠牲にしています。のインフラセクターを対象としてい
ます。サイバーアクターは、システムの運用を調整するだけでなく、
以下のような テクニックを使用することができます。

  • デスクトップ共有ソフトで付与されたアクセスを利用して不正送金

を行う。

  • サイバーアクターが以下のことを可能にする悪意のあるコードを注

入する。
o デスクトップ共有ソフトウェアのウィンドウを隠す。
o 悪意のあるファイルを検出されないように保護します。
o デスクトップ共有ソフトウェアの起動パラメータを制御して活動を
難読化する。

  • ネットワーク上を横方向に移動して活動範囲を拡大する。

デスクトップ共有ソフトウェアであるTeamViewerは、標的型ソーシャ
ルエンジニアリング攻撃や大規模な無差別フィッシングキャンペーン
に従事するサイバーアクターによって悪用されてきた合法的な人気ツ
ールです。デスクトップ共有ソフトウェアは、執念深い従業員が使用
することもできます。
雇用者に対する窃盗の動機。

TeamViewerは、その合法的な使用以外にも、サイバーアクターがコン
ピュータシステムを遠隔操作して、被害者のコンピュータにファイル
をドロップすることを可能にし、機能的にはリモートアクセストロイ
の木馬(RAT)に似ています。しかし、TeamViewerの合法的な使用は、R
ATに比べて、エンドユーザーやシステム管理者が異常な活動を疑うこ
とを少なくします。


脅威の概要

デスクトップ共有ソフトウェア

FBI、CISA、EPA、MS-ISACは、腐敗したインサイダーや外部のサイバ
ーアクターが、以下を使用していることを観察してきました。デスク
トップ共有ソフトウェアを利用して、クリティカルな組織を含む様々
な組織のターゲットを犠牲にしています。のインフラセクターを対象
としています。サイバーアクターは、システムの運用を調整するだけ
でなく、以下のような テクニックを使用することができます。

  • デスクトップ共有ソフトで付与されたアクセスを利用して不正送金

を行う。

  • サイバーアクターが以下のことを可能にする悪意のあるコードを注

入する。
o デスクトップ共有ソフトウェアのウィンドウを隠す。
o 悪意のあるファイルを検出されないように保護します。
o デスクトップ共有ソフトウェアの起動パラメータを制御して活動を
難読化する。

  • ネットワーク上を横方向に移動して活動範囲を拡大する。

デスクトップ共有ソフトウェアであるTeamViewerは、標的型ソーシャ
ルエンジニアリング攻撃や大規模な無差別フィッシングキャンペーン
に従事するサイバーアクターによって悪用されてきた合法的な人気ツ
ールです。また、デスクトップ共有ソフトウェアは、雇用者に対する
執念や窃盗の動機を持つ従業員によって使用されることもあります。
TeamViewerは、その合法的な使用以外にも、サイバー犯罪者がコンピ
ュータシステムを遠隔操作し、被害者のコンピュータにファイルをド
ロップすることを可能にし、機能的にはリモートアクセストロイの木
馬(RAT)に似ています。しかし、TeamViewerの合法的な使用は、RATに
比べて、エンドユーザーやシステム管理者が異常な活動を疑うことを
少なくします。


Windows 7 エンド・オブ・ライフ

2020年1月14日、マイクロソフトはWindows 7オペレーティングシステ
ムのサポートを終了しました。特定の顧客が拡張セキュリティを購入
しない限り、セキュリティ更新とテクニカルサポート Update (ESU)
プラン。ESU プランはデバイスごとに有料で、Windows 7 Profession
al および エンタープライズ版は、顧客が継続して使用するほど価格
が上昇します。マイクロソフトは は2023年1月までESUプランを提供
しています。Windows 7を使い続けるとサイバーアクターのリスクが
高まる コンピュータシステムの悪用。

サイバー犯罪者は、レガシーな Windows オペレーティングシステム
への侵入口を見つけ、それを利用して、コンピュータシステムを悪用
し続けています。Remote Desktop Protocol (RDP)の悪用。の緊急パ
ッチをリリースしました。情報セキュリティ研究者がRDPを発見した
ことを受けて、Windows 7を含むオペレーティングシステムの 2019年
5月に脆弱性 2019年7月末以降、悪意のあるRDPの活動が増加しており
脆弱性のための商用エクスプロイトの開発。サイバー犯罪者は、し
ばしばサイバー攻撃を行うためのRDPアクセス制御を誤って設定され
ていたり、不適切に保護されていたりします。 xDedic 2019年に法の
執行機関に乗っ取られたマーケットプレイスは、RDPを妥協して栄え
た 世界中の脆弱性


軽減措置

一般的な推奨事項

前述のスキームから守るために、以下のようなサイバー衛生対策を行
うとよいでしょう。

  • オペレーティングシステムの最新バージョン(Windows 10 など)

にアップデートする。

  • 多要素認証を使用する。
  • 強力なパスワードを使用して、リモート・デスクトップ・プロトコ

ル(RDP)の認証情報を保護する。

  • アンチウイルス、スパムフィルタ、ファイアウォールが最新で、適

切に設定され、安全であることを確認する。

  • ネットワーク構成を監査し、更新できないコンピュータシステムを

隔離する。

  • RDPを使用しているシステムについてネットワークを監査し、使用

されていないRDPポートを閉じ、多要素法を適用しているかどうかを
確認します。可能な限り認証を行い、RDP ログインの試みをログに記
録します。

  • すべてのリモート接続プロトコルのログを監査する。
  • ソーシャルエンジニアリングの試みを特定し、報告するようにユー

ザーを訓練する。

  • 異常な活動を示すユーザーを特定し、アクセスを一時停止する。

上下水道システムのセキュリティに関する推奨事項

以下の物理的安全対策は、追加的な保護対策として機能する。

独立したサイバー物理的安全システムを設置する。これらのシステム
は、物理的に脅威行為者によって制御システムが危険な状態に陥った
場合に、危険な状態が発生しないようにするために、サイバー物理
安全システムの制御を行います。

  • サイバー物理的安全システムの制御の例としては、以下のようなも

のがあります。
o ケミカルポンプのサイズ
o 化学物質のリザーバーのサイズ
o バルブのギアリング
圧力スイッチなど

水道部門におけるこれらのタイプの制御の利点は、小規模なシステム
では、限られた サイバーセキュリティ能力を持つオペレータは、最
悪のケースを想定してシステムを評価することができます。オペレー
タは、以下のことを行うことができます。被害を制限するための物理
的な措置を講じることが必要です。例えば、サイバー犯罪者が水酸化
ナトリウムの ポンプを使用すると、pHを危険なレベルまで上げるこ
とができなくなります。TeamViewerソフトウェアのおすすめポイント
TeamViewerソフトウェアをより安全に実装するために。

  • WindowsでTeamViewerを起動する」などの無人アクセス機能を使用

しないでください。"簡単なアクセスを許可する"

  • TeamViewerサービスを「手動起動」に設定し、アプリケーションと

関連する バックグラウンドサービスが使用されていないときは停止
します。

  • ランダムパスワードを設定して、10文字の英数字のパスワードを生

成する。

  • 個人用パスワードを使用する場合は、長さの異なる複雑な回転式パ

スワードを利用します。注記: TeamViewerでは、ユーザーは接続パス
ワードを変更することができます。TeamViewerでは、新しいセッショ
ンごとに接続パスワードを変更することができます。エンド ユーザ
ーがこのオプションを選択した場合、接続パスワードをオプションと
して保存してはいけません。永続性のために活用されています。

ホストのアクセス制御を設定する際には、カスタム設定を利用して
、リモートの パーティが取得しようとする可能性があります。

  • 以外のアクセスを得るためにホストから確認を受けることをリモー

トパーティに要求する。"表示のみ "にしてください。このようにす
ることで、未承認のパーティが TeamViewerを使用している場合は、
ロックされた画面しか表示されず、キーボードコントロールもできま
せん。

  • ブロックと許可]リストを利用して、ユーザーが他の組織のどの組

織の のユーザーは、システムへのアクセスを要求することができま
す。このリストは、以下をブロックするためにも使用できます。不正
アクセスが疑われるユーザー


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2022