太陽光発電施設にサイバー攻撃 コンテック社の脆弱性を悪用
2024年5月1日 各地の太陽光発電施設の遠隔監視機器、計約800台がサイバー攻撃を受け、一部がインターネットバンキングによる預金の不正送金に悪用されていたことがわかりました。中国のハッカー集団が関与した可能性があります。
目次
サイバー攻撃の概要
2022年時点で脆弱性のあったコンテック製の遠隔監視装置800台へバックドアを仕掛けて、
ネットバンキングに不正接続し、金融機関の口座からハッカー側の口座に送金して金銭を窃取した。機器を操作して発電を止めることも可能だった。
韓国のセキュリティー企業「S2W」によると、中国のハッカー集団「武器庫」が2023年2月テレグラムで機器の欠陥情報を交換していた。8月には福島第1原発の処理水放出に反発して日本へのサイバー攻撃を呼びかけ、機器を乗っ取る様子を投稿していました。
またコンテックは「23年12月までに修正ソフトの配布を終え、被害はほぼ収束した」と説明しています。
引用:ZAKZAK
業界に関連する方のXの投稿では、当該機器には出力制限がないため、直ちに電力供給に影響を与える不具合ではない としています。
以下から今回のサイバー攻撃と関連しているか不明ですが、過去海外セキュリティメーカーから指摘されていたコンテックの脆弱性について記載します。
コンテック(SolarView Compact)の脆弱性について
本サイバー攻撃に関連しているか不明ですが、コンテックが提供する太陽光発電計測表示システムSolarView Compactの脆弱性がCVE-2022-29303、CVE-2023-23333として公表されており
2023年時点で海外のセキュリティメーカーからOSコマンドインジェクションの危険性を指摘されていました。
CVE-2022-29303はWeb サーバーのテストメール送信画面において、入力した値が適切に検証されないことにより、OS コマンドが実行されOSコマンドインジェクション攻撃を実行される可能性があります。
実際2022年時点で、脆弱性CVE-2022-29303のエクスプロイトコードも一般に公開されており、以下は実際にOSコマンドインジェクション攻撃を試みている動画になります。
コンテックが公表済みのSolarView Compactの不正アクセスについて
SolarView Compactへの不正アクセスは、2023年7月18日時点でコンテック社が以下の通り公表しています。
以下はコンテックス社のPDFの文章から引用した内容です。
SolarView Compactへの不正アクセス概要
当社製の太陽光発電計測監視装置「SolarView Compact」をインターネットから閲覧可能な状 態で運用している場合、製品の脆弱性を狙った不正アクセスが頻繁に行われていることが判明しました。
本書では不正アクセスの影響を受ける製品と、発生した障害に対する対応方法、恒久対策を説明します。対応または恒久対策の実施をお願いいたします。本書に記載している症状が発生して いない場合でもソフトウェアは最新のものとなるように継続して更新を行ってください。
不正アクセスの該当製品
製品名 :SolarView Compact
型式 :SV-CPT-MC310、SV-CPT-MC310F バージョン:8.20 未満
発生する現象
不正アクセス後に主に以下の 3 パターンの症状が発生することを確認しています。 症状1:帳票、ダウンロード画面を開くとエラーメッセージが表示される
「Warning: ~」のメッセージが表示され、計測データを確認できない
症状 2:アクセスするとシステム更新、システム情報などの設定画面で「Error 404:File Not
Found」や「Error 500:Internal Sever Error」が表示され、画面が開けない
症状 3:アクセスするとトップページの後の画面で「Error 503:Service Not Available」や
「Error 500:Internal Sever Error」が表示され、監視画面が開けない
前提条件
本製品を設置から5年以上運用頂いている場合、不正アクセスとは関係なく経年等による故障 によって症状1~3 が発生することがあります。その場合、SD カードの修理ではなく製品のリ プレイスをご検討ください。また SD カード交換や新規製品へリプレイスを行う場合、不正アク セスを受けた機器からの計測データや設定データの移行は行わないでください。新規購入時と同 様に一から設定を行ってください。
障害内容
症状1:不正アクセスの影響により SD カードの内容(計測データ、設定)が改竄・破壊され、 正常に動作できない状態になっています。
症状 2:不正アクセスの影響により SD カードの内容(計測データ、設定、プログラム)が改竄 され、正常に動作できない状態になっています。
症状 3: 不正アクセスの影響により製品の Web サービスが動作できない状態になっています。
対応
症状1:SD カードの交換が必要です。当社修理窓口に SD カードの交換を依頼してください。
症状 2 :SD カードの交換が必要です。当社修理窓口に SD カードの交換を依頼してください。
症状 3:本製品の再起動を実施してください。再起動後の状況に応じて対応が変わります。
再起動は本製品の電源を OFF→ON するか、下記 URL の再起動画面から再起動操作を 実施します。
http://本製品の IP アドレス/cgi-bin/p1_system_reboot.cgi 「再起動後も症状が変わらない」「再起動画面が開けない」場合
症状1と同様に当社修理窓口に SD カードの交換を依頼してください。 「再起動後に監視画面が開けるようになった」場合
まずは暫定対策として以下を実施してください。 ・ファームウェアを最新の状態に更新する ・全画面を認証対象に変更する(ユーザー設定画面から設定できます) ・パスワードを変更する
英大文字/小文字/数字を混在して 8 文字以上にしてください。
暫定対策後は症状1と同様に SD カードの交換を依頼し、SD カードが到着後に 交換作業を行ってください。暫定対策を実施するとシステムが復帰したように見える ことがありますが、不正アクセスの影響が残っていることが考えられますので必ず SD カードの交換を行ってください。
恒久的な対策
インターネットから閲覧可能な機器は常に不正アクセスされるリスクがあります。 このリスクに対応する為に下記の実施を強く推奨します。
・本製品のネットワークの上流側にファイアウォールを設置する ・本製品のネットワークの上流側のルータにて接続可能な IP アドレスを制限する ・本製品のネットワークアクセスを信頼できる閉域網で構成する ・本製品のソフトウェアを常に最新のものにする ・本製品のパスワードを定期的に更新する
・本製品を「4G LTE 通信回線付クラウド型パッケージ SolarView Air」にリプレイスする SolarView Air は計測装置本体に 4G/LTE 通信機能がセットになっており閉域網を使ってク ラウドサーバと通信するシステムです。インターネットから計測装置本体へはアクセスでき ない仕様となっている為、不正アクセスの影響を受けません。
知ると面白い記事
