Shodanでロシアの脆弱なサイトを見つける方法 / Shodan: Using Shodan to Find Vulnerable Russian SCADA/ICS Sites(転載)


Shodan: Using Shodan to Find Vulnerable Russian SCADA/ICS Sites:

ロシアとウクライナの戦争が激化するにつれ、世界の平和と繁栄へのリスクも強まっています。ロシアは10年以上前からウクライナに対してサイバー戦争の手法を用いており、対ロシア制裁が強化されれば(制裁初日に株式市場は50%近く下落した)、ロシアの情報機関がその鍛え上げた技術を欧米に対して使い始める可能性がある。

2020年、ロシアのハッカーたちは、Solar Windsのアップデートを利用して、米国および世界中の数千の主要なコンピューターシステムにシェルコードを埋め込むことができました。それらのインプラントの多くはまだ有効であり、ロシアが必要なときに使用することができます。さらに心配な潜在的事象は、西ヨーロッパ諸国と米国のインフラに対する攻撃の可能性である。

ロシアのハッカーは、SnakeTritonなど、これらのシステムに対するさまざまなマルウェアを開発しています。NSAと国土安全保障省のCISAは、ロシアのハッカーが米国と西側諸国のさまざまなSCADA/ICSシステムを調査していることを指摘している。ロシアへの圧力に耐えられなくなった場合、これらのシステムに引き金を引く可能性があります。その影響は壊滅的なものになる可能性がある。

このような事態が起こる確率を考えれば、西側諸国はそれなりの対応をすることができる。ロシアがこのような事態に備えていることは明らかです。近年、ロシアのSCADA/ICSシステムの安全性は格段に向上していますが、西ヨーロッパやアメリカのSCADA/ICSはまだ脆弱な部分が多くあります。ロシアのシステムが無敵だということではありませんが、一般的に米国のシステムよりも侵害されにくくなっています。

西側のインフラに対するロシアの攻撃があった場合、脆弱なロシアのSCADA/ICSシステムを見つけるための簡単なチュートリアルを提供します。

Step #1: Open Shodan

まず、shodan.ioに移動してアカウントを開設します。Shodanの基本については、こちらをご覧ください。


ステップ2: ロシアのSCADA/ICSサイトの検索

SCADA/ICSのサイトでは、従来のTCP/IPとは全く異なるプロトコルが使用されています。これらのシステムで使用されているプロトコルは200種類以上にも及びます。プロトコルの数は非常に多いのですが、最も一般的なプロトコルはmodbusです。Modicon社(現在はSchneider Electric社の一部門)が開発した最初のSCADA/ICSプロトコルで、最も広く普及しているプロトコルです。これはポート502を使用します。

ロシアでmodbusベースのシステムを見つけるには、ポート502と国コードRUのShodanシンタックスを使用して検索することができます。

port:502 country:ru

Shodanはロシアで1100以上の施設が502番ポートを使用していることを発見しました。これらのすべてがSCADA/ICSサイトというわけではありませんが、ほとんどがそうでしょう。

ポート構文に加え、メーカー名でも検索できます。たとえば、これらのシステムの最大手メーカーであるSchneider ElectricとSiemensの2社を、次の構文で検索することができます。

"schneider"country:ru

"siemens" country:ru



さらに具体的に、Schneider Electric TM221のようなメーカーの特定のPLCを探すことも可能です。

"Schneider Electric TM221"country:ru

SCADA/ICのプロトコルであるDNP3は、送電業界では一般的に使用されています。通常、20000番ポートを使用します。そのポートを使っているロシアの施設を検索するには、次のように入力します。

port:20000 country:ru

その他のSCADA/ICSプロトコルを検索するには、この表からSCADA/ICSシステムでよく使用されるポートを検索することができます。

ウクライナ戦争は、サイバー戦争のリスクを前面に押し出している。その中でも、SCADA/ICSと呼ばれる多数のインフラシステムが最大のリスクである。情報系システムへの攻撃は、機密データの紛失や身代金のリスクがありますが、SCADA/ICSシステムへの攻撃は、人命に関わるリスクです。電気、上下水道など生命維持のためのシステムが失われれば、市民生活に壊滅的な打撃を与える可能性があります。西側諸国がロシアに圧力をかけすぎれば、ロシアのハッカーはこれらのシステムに対して攻撃を開始すると思います。ロシアは西側諸国よりもはるかに優れた方法でこれらのシステムを保護していますが、彼らも攻撃に対して脆弱なのです。

SCADAハッキングとセキュリティについては、こちらをご覧ください。