piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

太陽光発電 監視機器約800台へのサイバー攻撃について調べてみた

2024年5月1日、太陽光発電施設の遠隔監視機器 約800台がサイバー攻撃を受けていたと報じられました。ここでは関連する情報を調べた内容についてまとめます。

監視機器を経由し不正送金

  • 太陽光発電施設の遠隔監視機器がサイバー攻撃を受けているとして、報じたのは産経新聞の次の記事。コンテック社の遠隔監視機器が乗っ取られ、インターネットバンキングの不正送金に悪用されていたというもの。

www.sankei.com

  • 攻撃を受けた機器には脆弱性(記事では「サイバー攻撃対策の欠陥」と表記)が存在。これを悪用されたことで機器上にバックドアが設置され、機器を経由(攻撃者が身元を隠すために踏み台にしたとみられる)して不正送金にかかる操作が行われていた。当該事案については既に静岡県警も不正アクセス禁止法違反の容疑で捜査中とされている。

SolarView Compactの脆弱性を悪用

  • 脆弱性が悪用された監視機器について、先の記事では具体名は記載されていなかった。ただし、記事中の画像やコンテック社の公表情報*1、後述する中国のハッカー集団とされる人物らの投稿から、同社が太陽光発電計測システムとして販売している「SolarView Compact SV-CPT-MC310(またはSV-CPT-MC310F)」の脆弱性が悪用されていたとみられる。
SV-CPT-MC310の機器紹介ページ
SolarView Compact の操作画面(デモサイトより)
  • SolarView Compactの脆弱性について、コンテック社及びJVNより公表された情報より確認ができた脆弱性はCVEベースで以下の24件。2021年以降公開が続いており、これまでに少なくとも7件の脆弱性実証コードとみられる情報がインターネット上で公開されていることを確認した。さらにコマンドインジェクションの脆弱性であるCVE-2022-29303は、PaloAltoがMirai Bot 亜種の感染に悪用されていると報告していた。*2 またCVE-2022-29303に加え、同じくコマンドインジェクションの脆弱性であるCVE-2023-23333については先のハッカーとされるグループのTelegramに投稿が行われていた。
  • VulnCheckはSolarView Compactの一部の脆弱性について、記載されていないバージョンにおいても対象外ではなく影響が及ぶケースがあるとして、影響対象の記載が不正確であると指摘している。*3 コンテック社も2023年7月時点の案内では影響を受ける対象バージョンを「8.20未満」と表記しており、最新バージョン*4にアップデートすることが推奨される。なお、2023年以降の脆弱性については、コンテック社より脆弱性情報にかかる公式の情報を確認できないケースが散見され、該当ケースは以下表の影響対象について?を付記している。
公表日 対象脆弱性 対象Ver
2021年2月19日
(JVN#37417423)
CVE-2021-20656
CVE-2021-20657
CVE-2021-20658
CVE-2021-20659
CVE-2021-20660
CVE-2021-20661
CVE-2021-20662
他脆弱性を含む旧バージョンのvsftpd,lighttpdを使用
Ver.6.50より前
2022年5月26日
(JVNVU#92327282)
CVE-2022-29302 Ver.6.50より前
上に同じ CVE-2022-29303 (PoC)
CVE-2022-40881
CVE-2023-23333 (PoC)
Ver.7.21より前
上に同じ CVE-2022-29298 (PoC) Ver.7.22より前
2022年6月21日 CVE-2022-31374 (PoC) Ver.6.0?
2022年7月27日
(JVNVU#93696585)
CVE-2022-35239 Ver.7.23以前
2022年11月29日 CVE-2022-44354 (PoC) Ver.4.0、Ver.5.0?
2022年12月5日
(JVNVU#93526386)
CVE-2022-44355 Ver.8.02より前
2023年5月8日
(JVNVU#92106300)
CVE-2023-27512
CVE-2023-27514
CVE-2023-27518
CVE-2023-27521
CVE-2023-27920
Ver.8.10より前
2023年5月23日 CVE-2023-29919 (PoC) Ver.6.0以前?
2023年10月27日 CVE-2023-46509 (関連) Ver.6.0以前?
2023年12月23日 CVE-2023-40924 (PoC) Ver.6.0 未満?

サイバー攻撃にあった800台

  • サイバー攻撃の被害範囲に関して、見出しでは「遠隔監視機器800台乗っ取り」、記事リード文でも「約800台がサイバー攻撃を受け」と書かれているが、そのあとの説明では2022年時点で約800台に脆弱性があったと書かれているにとどまり、800台すべてに対してサイバー攻撃(脆弱性を悪用されてバックドアが仕掛けられるなどの状況)が確認されたのかについては十分な説明がされていなかった。
  • そのため、どれぐらいのSolarView Compactのホストがインターネット上で公開された状況となっているかShodanで簡単な確認を行ったところ、2024年5月2日時点でSolarView CompactとShodanにより判定されたホストは約900台、さらにCVE-2023-23333などの脆弱性タグが付いているホスト数はそのうち約200件が該当した。
  • 別の切り口として当該機器の最初に表示される画面フッター部に注目し、「 Copyright(C) 2007-2023 CONTEC.CO.,LTD. All rights reserved. 」などと記載がされていることから年号よりアップデート時期(対象バージョン)を類推することが可能と判断した。Ver8.20が公開された2023年に更新されたとみられるホスト数をカウントしたところ該当は約120件となった。それ以外の表記されたホスト数が最新版に更新されていないと仮定した場合、インターネットから接続可能な状態でもある約600件のホストが最新状態となっていない可能性がある。一方で、コンテック社は2023年12月までに修正版の公開を終えており、被害はほぼ収束したと説明を行っている。
Shodanで確認できた年号表記 該当したホスト件数
2007-2010 3台
2007-2010 3台
2007-2012 132台
2007-2013 18台
2007-2014 69台
2007-2015 83台
2007-2016 17台
2007-2017 20台
2007-2018 16台
2007-2019 6台
2007-2020 26台
2007-2021 25台
2007-2022 152台
2007-2023 118台
最初の画面中に年号表記がされている

攻撃に関与したとされる中国ハッカー集団

  • 一連の攻撃や不正送金には中国のハッカー集団が関与した可能性があると説明がされている。この関与については韓国のセキュリティ企業S2W社が取材を受け答えたもの。さらにハッカーグループも取材を受けており、不正送金への関りはないと否定する見解を述べていた。
  • S2W社はこのグループが2023年8月の東京電力福島第一原発で開始された処理水放出に際してサイバー攻撃の呼びかけを行っていたとも取材で話しており、2024年1月にはOpJapanに関する分析レポートを公開している。

medium.com

  • 記事で取り上げられていた「武器庫」と表現されるグループはS2W社のレポートより「Hacker 🇨🇳-军火库」を指していたものとみられる。Hacker 🇨🇳-军火库は2023年8月に処理水放出を受けた攻撃の呼びかけを投稿していただけでなく、SolarView Compactの脆弱性2件に関するPoCなども2023年2月に1回(CVE-2023-23333)、2023年8月に2回(CVE-2022-29303とCVE-2023-23333)Telegramへ投稿していた。一方でHacker 🇨🇳-军火库が不正送金に関与していた可能性があるとS2W社が判断するに至った情報は先の分析レポートやHacker 🇨🇳-军火库のTelegramチャンネルから確認をとることができなかった。
Hacker 🇨🇳-军火库のSolarView Compact PoCの投稿

更新履歴

  • 2024年5月3日 AM 新規作成