電力系統は人類がこれまで構築した洗練されたシステムの１つである。IEC 61850のような新技術および欧州全体の取り組みは、大陸全体のスマートグリッドシステムの創造をより複雑にさせている。私たちの最新研究は、継電器保護や風力・太陽光発電を含めた、脅威の展望やアーキテクチャと現代的なスマートグリッド要素の実装の分析に注力していた。驚くべきこと（ではない）かもしれないが、巨大なタービンタワーや家庭用の太陽光発電機を管理するシステムはインターネットに接続されているだけでなく、多くの既知の脆弱性や容易にゼロデイになりやすい。たとえこれらのシステムがShodanで見つからなかったとしても、派手なクラウド技術はセキュリティのためにならない。この講演では、ハウスキーピングと屋上太陽光発電システムからデジタル変電所までの、欧州のスマートグリッド技術の様々な要素の安全性評価における実際の経験を述べる。スマートグリッド要素における新たな（しかし、責任を持って開示する）脆弱性やクラウドSCADA技術だけでなくスマートグリッド産業プロトコルの安全性評価のための新しいツールも公開する。

1. 欧州におけるスマートグリッドの
実践的セキュリティアセスメント
セルゲイ・ゴディチック
アレクサンダー・ティモリン

2. www.scadasl.org
• ICS/SCADAに注力しているセキュリティ研究家のグループ
Alexander Timorin
Alexander Tlyapov
Alexander Zaitsev
Alexey Osipov
Andrey Medov
Artem Chaykin
Denis Baranov
Dmitry Efanov
Dmitry Nagibin
Dmitry Serebryannikov
Dmitry Sklyarov
Evgeny Ermakov
Gleb Gritsai
Ilya Karpov
Ivan Poliyanchuk
Kirill Nesterov
Roman Ilin
Sergey Bobrov
Sergey Drozdov
Sergey Gordeychik
Sergey Scherbel
Timur Yunusov
Valentin Shilnenkov
Vladimir Kochetkov
Vyacheslav Egoshin
Yuri Goltsev
Yuriy Dyachenko

3. SCADA/PLCにおけるバグ
*ICS Security in 2014, Evgeny Druzhinin, Ilya Karpov, Alexander Timorin,
Gleb Gritsay, Sergey Gordeychik

4. 世界の電力消費量

5. スマートグリッドサイバーセキュリティ
http://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7628r1.pdf

6. スマートグリッドサイバーセキュリティ
http://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7628r1.pdf

7. 太陽光パネルは持続可能ではない。
吸収した太陽光は永遠に失われた。
太陽を排出することがばかげた考え
だと思うなら、いいねして共有して。

8. チップ上のIPC

9. オープンソースインテリジェンス

11. ファームウェア
― Google dorks
― 設定スクリプト
― ファイルシステムの構造

12. 検索エンジンで直接探す
（Googleで単純に見つける）

14. 暗号化!!!!!

15. ファームウェアアップデート

16. 修正プログラム
--snip--
Comment to PT-SOL-2014001:
The upload path has been changed. It is still possible to upload files, but they
can't overwrite system critical parts any more.
Comment to PT-SOL-2014002:
The system backup is created in a randomly chosen path an deleted afterwards.
Therefore an unauthorized access is made much more difficult and very unlikely.
Second comment to PT-SOL-2014002:
In order to compensate the weak encryption in the configuration file, the whole
configuration file is now encrypted via the new HTTP transmission.
--snip--

18. オープンソースインテリジェンス

19. ユーザ向けマニュアル

20. 管理者向けマニュアル

21. ソースコード

22. 117.220 MW 検索結果(1/22)

23. 風？

25. Nordex社

26. 歴史に学ぶ

27. CVE詳細

28. Googleで検索して出てきた画像

29. 990.390 MW
*Special Bushehr photo for scary ICS security slides
*

31. ハッシュタグ#SCADASOS
http://scadastrangelove.blogspot.com/2014/12/sos-secure-open-smartgrids.html

33. ハッシュタグ#SCADASOS 検索の成果
• 6万以上のスマートグリッド機器がインターネットには接続されていない
• 2つのアドバイザリ
• XZERES 442SR Wind Turbine CSRF
• SMA Solar Technology AG Sunny WebBox Hard-Coded Account Vulnerability

34. グローバルな無線ネットワーク
• 巨大な攻撃対象領域
• TCP/IP ネットワーク
• それはグローバル

35. IP機器

36. LTE無線セキュリティ
 理論
 A5/3暗号
 GEA 2
 128ビット鍵
 実践
 2Gとの後方互換性(中間者攻撃)
 A5/1やA5/0の再利用

37. 実際の4G 暗号化
Karsten Nohl, CCC, Hamburg, Germany, 2014

38. (u)SIMの脆弱性
― リモートデータ復旧 (Kc, TIMSI)
• チャネルの復号(A5/3を含む)
• SIMとモバイルステーションの複製
― SIM"マルウェア"
― PIN/PUKブルートフォースによるSIMの
ブロック
Alexander Zaitsev, Sergey Gordeychik ,
PacSec, Tokyo, Japan, 2014

39. フェムトランドと3Gスニッファ

40. 4Gモデム
 モバイルコンピュータ
 Linux/Android/BusyBox/VxWorks
 様々なインターフェイス
 ストレージ
 CWID USB SCSI CD-ROM USB機器
 MMC ストレージ USB デバイス
(MicroSD カードリーダ)
 ローカル管理
 COMポート(UI, ATコマンド)
 リモート管理
 リモートでのNDISベースのインターネット共有デバイス
 WiFi
Kirill Nesterov, Timur Yunusov,
HITBSec 2015, Amsterdam

42. ホストを攻撃

43. 制御

45. First one to guess
now to bypass
BIOS secure boot
gets…

46. 133t prize or free beer!

47. ネットワーク経由で悪用可能な
USBドライバのバグ
Travis Goodspeed, Sergey Bratus,
https://www.troopers.de/wp-content/uploads/2012/12/TROOPERS13-
You_wouldnt_share_a_syringe_Would_you_share_a_USB_port-
Sergey_Bratus+Travis_Goodspeed.pdf

48. インターネット経由でのBADUSB
scadastrangelove.blogspot.com/2015/10/badusb-over-internet.html

49. アンテナつきのSCADA

50. エージェントベーススマートグリッドのゲーム化

51. 強力なソーシャルネットワーク

52. 彼は単に「クラウドの中のSCADA」と言った?

56. パッチをあて過ぎるな

58. 数キロワットだけ

60. #CablemeltingBAD
注記のように、欧州のエネルギーグリッドにはおよそ3
ギガワットのバッファがあり、数秒間のうちに3ギガワッ
トをネットから切断する（あるいは接続する）ことで、光
が消えるだろう。それも長期にわたって。

61. スマートグリッドサイバーセキュリティ
http://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7628r1.pdf

62. デジタル変電所
http://scadastrangelove.blogspot.com/2013/11/scada-security-deep-inside.html
IEC 61850 tools:

63. オープンラボ@PHDays
PHDays III Choo Choo Choo Pwn
– セキュリティアセスメント/侵入検査
PHDays IV Critical Infrastructure Attack
– ゼロデイ脆弱性の調査
http://bit.ly/1t8poTL http://www.phdays.com/press/news/38171/

64. PHDays IV CIA
• 目的
– ICSコンポーネントにおけるゼロデイ脆弱性の調査
– 破滅的な結果を起こす
– ゼロデイ/ワンデイ、CVSS、複雑さ、脆弱性の悪用、実際的な影響(例えば、どのような
破滅的な結果にできるか)
• 攻撃対象
– Schneider Electric 社
• Wonderware System Platform, InduSoft Web Studio 7.1.4,
ClearSCADA, IGSS, MiCOM C264
– Siemens 社
• Flexible, TIA Portal 13 Pro, WinCC, KTP 600, Simatic S7-1500 (1511-1
PN), S7-300 (314С-2 DP + CP343), S7-1200 v3, S7-1200 v2.2
– Rockwell Automation 社
• RSLogix 500, Allen-Bradley MicroLogix 1400 1766-L32BWAA
– 他にもWellinTech KingSCADA, ICONICS Genesis64, ICP DAS PET-7067,
Kepware KepServerEX(S7, DNP3), Honeywell Matrikon OPC (Modbus,
DNP3)など

65. PHDays IV CIAの結果
• 勝者
– Alisa Esage – SE InduSoft Web Studio
7.1
– Nikita Maximov & Pavel Markov - ICP
DAS RTU
– Dmitry Kazakov - Siemens Simatic S7-
1200 PLC
• 2日間で10を超えるゼロデイ脆弱性
• 責任のある情報開示

66. デジタル変電所の乗っ取り
https://www.youtube.com/watch?v=w8T-bbO3Qec

67. Digital Substation Takeover

68. SIPROTEC 4におけるDoS
5000/udpに対し、特別に組み立てられたパケットを送信することで脆弱性を
持つデバイスをDoS状態に陥れられる可能性がある。デバイスのサービスを
復旧させるには、手動での再起動が必要である。

69. The Power of Japan

70. Japan energy stations map:
megawatts and location

71. Ukishima solar power plant

72. Kagoshima solar power plant

73. Kagoshima plant diagram
• SUNNY CENTRAL 500CP-JP
• The 70-megawatt system in Kagoshima is a good example of how important it
is to have the right service partner at your side - someone with broad
experience, who can respond to unexpected events in a flexible manner.
http://www.sma.de/en/products/references/kagoshima.html

74. Kagoshima plant diagram

75. ICS Security in Japan
• 600+ SCADA/PLC on the Internet
20
129
408
19
8 13
ethernetip http modbus snmp s7 other

76. ICS Security in Japan

77. PS

78. 間違い探し
1
2

79. 超重量鉄道
150台の貨車
12,500トン
数台の機関車

80. 超重量列車へのジャミング

81. 自動列車防護装置 － SIL 4!

82. SIL 4?!
Safety Integrity Level (安全度水準)の略
機能失敗確率(PFD)
1時間あたりの失敗確率(PFH)

83. SIL 4? 15分でrootが取れた!

84. 私たちは違いがわかる
1
2

85. スピードが必要？
http://www.theguardian.com/world/2013/jul/25/spain-train-crash-travelling-so-fast

86. PPS

87. ネットワークコンバージェンス？

88. OTコンバージェンス？
最新のスマートグリッド:
- ICS/SCADA
-携帯電話会社
-課金/支払
- IoT
-クラウド

90. SMSでrootを取る
Alexander @arbitrarycode Zaitsev
Alexey @GiftsUngiven Osipov
Kirill @k_v_nesterov Nesterov
Dmtry @_Dmit Sklyarov
Timur @a66at Yunusov
Gleb @repdet Gritsai
Dmitry Kurbatov
Sergey Puzankov
Pavel Novikov

91. *AllpicturesaretakenfromDr
StrangeLovemovieandother
Internets
サイバー大列車強盗

92. 私たちはすでに知っている:
リバースペリメーター

93. 93

94. ネットワークからのハック
94

95. インターネット上のオープンATM
95

96. ご静聴ありがとうございました
*Allpicturesaretakenfrom
googleandotherInternets
Alexander Timorin
Alexander Tlyapov
Alexander Zaitsev
Alexey Osipov
Andrey Medov
Artem Chaykin
Denis Baranov
Dmitry Efanov
Dmitry Nagibin
Dmitry Serebryannikov
Dmitry Sklyarov
Evgeny Ermakov
Gleb Gritsai
Ilya Karpov
Ivan Poliyanchuk
Kirill Nesterov
Roman Ilin
Sergey Bobrov
Sergey Drozdov
Sergey Gordeychik
Sergey Scherbel

97. 欧州におけるスマートグリッドの
実践的セキュリティアセスメント
セルゲイ・ゴディチック
アレクサンダー・ティモリン