Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Unsolicited Response - Getting BACnet Off of the Internet (Japanese)

Terada-san from Hitachi provides a quick, unsolicited response session on how they investigated systems Shodan identified as Hitachi. They in fact were Advantech systems, and they were tracked down.

  • Als Erste(r) kommentieren

Unsolicited Response - Getting BACnet Off of the Internet (Japanese)

  1. 1. S4xJapan Unsolicited Response Vendor ID: Hitachi Ltd.<450> 2014/10/14 寺田真敏 hirt@hitachi.co.jp Hitachi Incident Response Team http://www.hitachi.co.jp/hirt/
  2. 2. Copyright © Hitachi Incident Response Team. 2014 2 1. 謝辞 ご協力ありがとうございます。  本調査のきっかけと、調査結果を報告する機会を作ってくれま した、Digital Bond社に感謝します。  本調査活動への協力ならびに、調査に関連する実験装置の写 真を提供してくださいました、株式会社ネットワークコーポレー ションの皆さまに感謝します。  本調査活動に協力してくださいました、アドバンテック株式会社 の皆さまに感謝します。
  3. 3. 調査活動のきっかけ Copyright © Hitachi Incident Response Team. 2014 3 2. はじめに 日本で使用されているBACnetに関する情報 http://digitalbond.jp/2014/04/17/日本で使用されているBACnetに関する情報/ 2014年4月17、日 Digital Bond社から、日本で使用されている BACnet(インテリジェントビル用ネットワークのための 通信プロトコル規格)デバイスに関する記事が 掲載された。 その記事の中に、Vendor ID: Hitachi Ltd.<450>と いう名称が記載されていた。
  4. 4. Copyright © Hitachi Incident Response Team. 2014 4 2. 調査活動のきっかけ はじめに 日本で使用されているBACnetに関する情報 http://digitalbond.jp/2014/04/17/日本で使用されているBACnetに関する情報/
  5. 5. Copyright © Hitachi Incident Response Team. 2014 5 3. 調査フェーズ:2014年4月 調査方法  SHODANデータベースをport:47808 country:JP (インター ネットに接続されている国内のBACnet装置)で検索した後、 Redpoint プロジェクトで作成されたnmap用BACnet スクリプトを用いて接続確認を実施(2014年04月19日時点) SHODAN Webサーバ、オフィス機器、情報家電、信号機、発電所の制御機器など、 インターネット接続されている機器情報が登録されているデータベース *) IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報公開とその対策」の公開 ~ 「SHODAN」を活用し、複合機・ネットワーク対応ハードディスク等の確認を~ https://www.ipa.go.jp/about/technicalwatch/20140227.html
  6. 6. Copyright © Hitachi Incident Response Team. 2014 6 3. 調査フェーズ:2014年4月 調査結果  SHODANデータベースをport:47808 country:JP (インター ネットに接続されている国内のBACnet装置)で検索した後、 Redpoint プロジェクトで作成されたnmap用BACnet スクリプトを用いて接続確認を実施(2014年04月19日時点)  検索結果として50件がヒット > Model Name: CAN2goを含む検索結果47件 > Vendor ID: Hitachi Ltd.を含む検索結果1件 > その他2件
  7. 7. 事実確認フェーズ:2014年7月 Model Name: CAN2goを含む検索結果 Copyright © Hitachi Incident Response Team. 2014 7 4.  ネットワークコーポレーションが保有する50台から構成された CAN2go稼働確認用の実験装置
  8. 8. 事実確認フェーズ:2014年7月 Vendor ID: Hitachi Ltd.を含む検索結果 Copyright © Hitachi Incident Response Team. 2014 8 4.  結論を先に示すと、 該当エントリの装置は、アドバンテックのWebAccessであった。 2013年6月以前のアドバンテックのWebAccessには、 Vendor ID=450が設定されている可能性がある (該当バージョンは、WebAccessバージョン7.0 )。  この不具合を解決するためのアドバンテックの対応策  Web Accessソフトウエアの最新バージョン(Ver. 7.2)に アップデート  BACNetドライバを最新にアップグレード
  9. 9. 対応経緯:2014年4月~2014年10月 Copyright © Hitachi Incident Response Team. 2014 9 5. 日付イベント 04/17(木) 「日本で使用されているBACnetに関する情報」掲載 04/18(金) ~04/22(火) HIRTでの調査実施  SHODANデータベースへの登録状況の確認  NMAP+BACnetスクリプトによる接続確認  ポート番号80/tcpへの接続確認 05/09(金) Vendor ID: Hitachi Ltd.<450>該当部署への確認 06/09(月) 「日本で使用されているBACnetに関する情報」とSHODANの調査 結果に基づき、インターネットに接続されたBACnetデバイスのIPア ドレス管理している株式会社ネットワークコーポレーションに電話/ メールにて状況確認 07/14(月) 株式会社ネットワークコーポレーションを訪問 アドバンテック株式会社に電話/メールにて状況確認 07/15(火) アドバンテック株式会社から1次回答 07/23(水) アドバンテック株式会社から最終回答 10/14(火) 情報交換の場として、S4xJapan Unsolicited Responseを活用
  10. 10. 情報交換フェーズ:2014年10月14日 Vendor ID ・・・IDとして役割を果たすための一意性の確保 Vendor ID ベンダ名 90 Hitachi, Ltd. 150 Advantech Corporation 302 Hitachi Appliances, Inc. 449 SCL Elements 450 Hitachi Ltd. 549 Hitachi Systems, Ltd. Copyright © Hitachi Incident Response Team. 2014 10 6.  ASHRAE(米国暖房冷凍空調学会)への登録制のグローバル でユニークな識別子。DeviceObjectの必須属性のひとつで、 BACnet装置のベンダを示すため、BACnet装置を開発する ベンダは必ず取得しなければならない。 日付Vendor ID取得数 米国281 ドイツ89 カナダ61 日本58 英国29 オーストラリア25 *) BACnet Vendor IDs http://www.bacnet.org/VendorID/
  11. 11. 6. 情報交換フェーズ:2014年10月14日 IoT 世代の指摘通知方法の検討  IPアドレス+αの情報から、該当組織に必要な情報を適切なタ イミングで、どのように通知できるのか? IPアドレスから得られる情報ポート番号47808から得られる情報 xxx.xxx.xxx.xxx SAKURA Internet Inc. Added on 01.04.2014 Japan Osaka Details Instance ID: 17509 Vendor ID: Hitachi Ltd. Object Name: BW Firmware: 0.99 Location: WebAccess Application Software: 7.0 Model Name: WebAccess Bacnet Server Description: Desc Copyright © Hitachi Incident Response Team. 2014 11 xxx.xxx.xxx.xxx Sony Business Solutions Corporation Added on 03.04.2014 Japan Details xxx-xxx-xxx-xxx.cust.bit-drive.ne.jp Instance ID: 100 Vendor ID: SCL Elements Object Name: TEST_36 Firmware: 2.6.8.8565 Application Software: 0.5.2 Model Name: CAN2go
  12. 12. Copyright © Hitachi Incident Response Team. 2014 12 7. おわりに 事例として参考になれば幸いです。 Vendor ID: Hitachi Ltd.<450> と題し、 2014年4月17、日Digital Bond社から発行された「日本で使用さ れているBACnetに関する情報」という記事をきっけかに実施した 調査活動とその結果を紹介しました。また、現時点で可能な対策 (正しい情報、すなわち、事実を伝えることと、課題提起など)を推進 しました。 調査結果を報告する機会を作ってくれました Digital Bond社のDale Peterson氏、 いろいろ相談にのってくれました、 株式会社サイバーディフェンス研究所木内舞氏 に感謝します。
  13. 13. 参考情報 05/09(金)時点での調査結果まとめ <調査結果>  Vendor ID: Hitachi Ltd.<450>が稼働している機器のIPアドレス管理組織を調 査したところ、株式会社ネットワークコーポレーションのアドレスブロックであ ることがわかった。  Vendor ID: Hitachi Ltd.<450>を管理している日立グループ内の関係部署に 確認したところ、国内に該当システムを納品してはいない。  BACnetの機器から入手できる属性情報(Object Name: BW、Firmware: 0.99、 Location: WebAccess、Application Software: 7.0、Model Name: WebAccess Bacnet Server、Description: Desc)は、Advantech WebAccessの特徴に類似 している。  海外についても調査したところ、Vendor ID: Hitachi Ltd.<450>で、Advantech WebAccessの特徴に類似した属性情報を持ったサイトが複数存在する。 <推定>  Advantech CorporationのVendor IDは150であり、150と入力するところを450 Copyright © Hitachi Incident Response Team. 2014 13 と入力した可能性がある。
  14. 14. 05/09(金)時点での調査結果まとめ Copyright © Hitachi Incident Response Team. 2014 14 参考情報  SHODANデータベースをport:47808 hitachi (インターネットに接続され ているVendor ID: Hitachi Ltd.<450>のBACnet装置)で検索した後、 Redpoint プロジェクトで作成されたnmap用BACnet スクリプトを用いて 接続確認を実施(2014年04月21日時点)  検索結果として40件がヒット > Vendor ID: Hitachi Ltd.<450>を含む検索結果39件 内訳(台湾:24、中国:8、米国:5、インド:1、日本:1) > その他1件
  15. 15. 06/09(月)ネットワークコーポレーションへの確認  06/09 ネットワークコーポレーションからの回答 リストにあるWebAccessは弊社で販売しているパッケージソフトウェア(開 発元:アドバンテック)です。また、VendorIDはユーザサイドで設定できるも のではないため、アドバンテックに確認致します。 Copyright © Hitachi Incident Response Team. 2014 15 参考情報
  16. 16. 参考情報 07/15(火)アドバンテックへの確認 Copyright © Hitachi Incident Response Team. 2014 16  07/15 アドバンテックからの一次回答 Web AccessはもともとBroadComという会社の製品で、2年ほど前に AdvantechがBroadComを買収しています。その後、2013年7月以降の WebAccessバージョンはVendor IDは150になっている、とのことですの でベンダID:450が使用されていたのはBroadCom時代のことではないか と 思われます。
  17. 17. 参考情報 07/23(水)アドバンテックへの確認 Copyright © Hitachi Incident Response Team. 2014 17  07/23 アドバンテックからの最終回答 製品の開発元であるBroadCom社がAdvantechに買収される以前の バージョンで、今回ご指摘いただいたような症状が発生することが確認 されています。これに対し弊社では以下の対応策をとっている、とのことで す。 (1) ユーザ側にてWeb Accessソフトウエアを最新バージョン(Ver. 7.2)に アップデートしていただく。 (2) ユーザ側にてBACNetドライバを最新のものにアップグレードしていた だく。 「BwbacdrvJ.dll」は「WebAccessnodedriver」と 「WebAccessnode」とに含まれます。

×