英国の極寒の天候により、建物の制御システムの安全性の問題が再燃している。
ペンテストパートナーズのセキュリティ研究者は、多くの学校の暖房コントローラーのウェブインターフェースがパブリックインターネットからアクセス可能であり、根本的に安全ではないことを発見しました。PTPによると、この問題はキットメーカーではなく、設置に関するアドバイスを無視した設置業者の怠慢に大きく起因しています。
英国では、多くの学校が既に閉鎖されており、国土の大部分で積雪と寒さが続いています。暖房コントローラーがオープンウェブ上に存在し、認証バイパスのセキュリティ上の欠陥も存在するため、悪意のある人物が現在の寒波の際に暖房をオフにすることが可能です。
学校は休みです
オープンネット上でアクセス可能な安全でないシステムの中には、エセックス州チェルムズフォードの幼稚園の暖房を制御するシステムもあった。
Shodan検索でエセックスの学校の建物管理システムのWebコントロールパネルが表示される [出典: PTP]
問題は学校だけにとどまりません。PTPのIoT検索エンジン「Shodan」へのクエリでは、官公庁、大学、消防署、さらにはレストランにも、同様の脆弱な機器や設備が存在することが明らかになりました。
PTP は、悪意のあるハッカーがすでに認識しているであろうこの問題を強調し、意識を高め、建物の所有者にシステムが正しく設定されていることを確認するよう促しています。
Pen Test Partners のセキュリティ コンサルタントである Ken Munro 氏と彼の同僚は、以前にもこの問題を調査しました (最初は 2006 年、その後 2013 年)。しかし、この問題はメーカーや (さらに重要な点として) 暖房および空調設備の設置エンジニアによってまだ取り上げられていません。
Shodan検索では、トレンドコントロールズ、三菱電機、BACnetなどのビルコントローラがヒットしました。これらのデバイスの中には、脆弱性があり、認証が弱い、あるいは認証が全くない(つまり簡単に乗っ取られてしまう)ものや、以前の調査で示されているように、内蔵Webサーバーを簡単にクラッシュさせてしまうような「不安定な」Webインターフェースを持つものがあります。
BMS が破壊された
同じコントローラーの中古2013年モデルと、同じベンダーの新品2017年モデルを比較した最近のテストで、マンロー氏は依然として懸念材料を発見しました。アクセスされたシステムの一部は既にハッキングされています。
「コントローラのセキュリティはいくらか改善されたが、パブリックインターネット上に保護されていない状態でインストールされ、場合によっては完全に認証をバイパスしているコントローラが多数発見された」と彼は書いている。
「軍事基地、学校、政府機関、企業、大手小売店など、多くの場所で発見しました。これらの組織は侵入されるのに絶好の場所です。」
「マルウェアによって既にある程度侵害されているものもいくつか見つかりました。これ以上の侵害は容易でしょう。」
これらのケースの少なくとも一部では、マルウェアはコントローラにドロップされた仮想通貨マイニングワームによる日和見感染であり、デバイス上では動作しませんでした。しかし、だからといって油断すべきではありません。
ボブ・ザ・ボッジャー
これらの問題のほとんどは、ベンダーではなく、HVAC(暖房・換気・空調)やビル管理システムの設置業者によって引き起こされています。例えば、トレンドコントロールズは設置業者に対し、デバイスは分離されたサブネット上に設置し、インターネットに決して接続しないように指示しています(PDF)。
それにもかかわらず、Munro は、Shodan による簡単な検索で、数秒以内にネット上で 1,000 を超える安全でない Trend Controls を発見しました。
「設置業者はメーカーのセキュリティガイドラインに従わなかったため、顧客を危険にさらしました。しかし、メーカーはまだ改善の余地があります」とマンロー氏は述べた。
安全でない建物管理システムの問題は、単なる季節的な懸念とは程遠いものです。
「スマートビルディングコントローラーは、ドアのアクセス制御、暖房、換気、空調など、様々なものを管理します」とマンロー氏は指摘する。「米国のターゲット社の侵入事件を覚えていますか?侵入地点は、ターゲット社のHVAC管理会社だったと考えられています。」
一部のシステムに存在する認証バイパスの脆弱性は、暖房制御の不正操作にとどまらず、様々なハッキングの可能性を秘めています。例えば、ドアの解錠、警報の鳴動、侵入したコントローラーを踏み台にして企業ネットワークに侵入するといったことが挙げられます。多くのシナリオにおいて、内部の不正なハッカーは外部のハッカーと同様に深刻な問題となる可能性があります。
「ビル管理システムは、セキュリティについてまったく理解していない電気技師や HVAC エンジニアによって設置されることが多い」とマンロー氏は結論づけている。
建物にどのような「ステルス」技術が使われているか尋ねてみましょう。空調設備(HVAC)の担当者に、どのように監視・管理されているか尋ねてみましょう。ついでに、ドアコントローラーやIP警報システムについても尋ねてみましょう。
BMSベンダーは目を覚まし、現状を直視する必要があります。設置業者への教育、認定、監査を実施してください。そして、製品が可能な限り安全であること、そして安全でない設置を可能な限り困難にすることを保証してください。®
