piyolog

フィンランドで発生したDoS攻撃の影響による家庭用管理システムの障害についてまとめてみた

インシデントまとめ | 01:29 |

2016年10月末から11月初めにかけて、フィンランド南東部のラッペーンランタの不動産管理会社がDoS攻撃の影響を受け、2つの住宅(マンション)で暖房が一時的に停止するといった事態が発生しました。ここではこれらに関連する情報をまとめます。

なお、このまとめの元である多くの情報は翻訳を参考にしていることから記載内容の精度に不安があります。誤っている、または抜けている個所がありましたらご指摘いただけるとありがたいです。

公式発表など

このシステム障害に登場する組織

組織名	概要
Valtia	不動産の管理、運用、保守を担当しているフィンランドの地元企業
Fiddlix	今回のシステム障害が生じた家庭用管理システムの開発ベンダ
FICORA	フィンランドの通信規制局

Valtia

• English summary about DDOS attacks (魚拓)
• Tiedote tietoturvahyökkäyksestä (魚拓)

Fidelix

• security Guidance (魚拓)

FICORA

• Automaatiolaitteiden suojaaminen on tärkeää (魚拓)

インシデントタイムライン

日時	出来事
10月末〜11月3日	ValtiaのDNSサーバーに対してDoS攻撃が発生。
：	DoS攻撃の影響を受け、市内2つの住宅でシステム障害、その後暖房が停止。
1時間後	障害が発生したシステムをインターネットから切断、その後復旧し正常な状態に。

被害状況

発生場所

• フィンランド南東部 ラッペーンランタ http://www.lappeenranta.fi/

障害が起きたシステム

• Valtiaは「Fidelix Automaition System」と呼称。
• システムはWindows CEベース。
• 大規模な環境下では追加サーバーやSCADAが設置されている可能性もある。

発端

• Valtia宛に管理システムが奇妙なアラームを発出、リモートでの接続も出来なったことによる。

原因

何故家庭用管理システムをインターネットにつなぐのか

• Valtiaはシステムの安全性、及び管理の理由からインターネットに接続していると説明。
• 適切な警報システムがないと、水漏れ、暖房の破損、換気の不具合などを検出するのに時間を要してしまう。
• 確認対象が遠隔となるケースにおいて、リモート監視が可能であれば直接的なコスト削減も可能であるし、作業自体を効率化することも可能である。
• フィンランドには似たような(インターネットへ接続された)システムが2000程度存在する。

何故家庭用管理システムが止まったのか

• Valtia CEOのSimo Rounela氏が10月末から11月3日にかけ、DoS攻撃を受けたことによるものと説明。
• システムが直接攻撃を受けたのではなく、攻撃対象は同社のDNSサーバーであった。
• DoS攻撃発生後、システムが5分から10分おきに再移動を繰り返し、最終的にシャットダウンをしてしまった。
• アラームの送信が出来ない事態に陥った際、潜在的な損傷を防ぐためにフェールセーフとしてシャットダウンを行うよう設計されている。*1

家庭用管理システムが攻撃対象であったのか

• ValtiaはFidelixのシステムが攻撃対象となったのではなく、大手の欧州企業へ行われた攻撃の一環であると説明。

対応

• 当初ソフトウェアやハードウェアの問題を探していたことから、Valtiaは事態の把握まで数日を要した。
• 家庭用管理システムをインターネットから切り離すことで復旧した。

Fidelixがシステム管理者に対し促した注意喚起

• ログインに利用するID、パスワードの強度、及び管理状況の把握
• telnet、FTPのパスワードの変更
• サブステーションのFW、開放済みポート等のセキュリティ機能のチェック
• 必要に応じて別のFWを用いた保護

更新履歴

• 2016年11月27日 AM 新規作成
• 2016年11月27日 PM 誤字修正(@v1wさんありがとうございます)

ツイートする