遠隔制御監視システムを模したハニーポットへのアクセス者の挙動の分析

近年のIoT機器の普及に伴い，産業分野でもIoT機器の導入が進められているが，それらへのサイバー攻撃のリスクも増大している．過去には，産業用IoT機器を含む遠隔制御監視システムが脆弱な状態で管理・運用されているインフラ施設が存在していることが報告されている．そこで我々は，セキュリティに不備のあるインフラ施設や工場の遠隔制御監視システムへの攻撃の実態を知るため，遠隔制御監視システムを模したハニーポットを遠隔制御に用いるPLCやデータロガーを用いて構築し，運用を行っている．約2年間の観測により，遠隔制御監視システムの管理WebUIの情報量により訪問者のアクセス後の挙動が変化することや，杜撰な管理がなされている遠隔監視制御システムの存在を知る手段の一つとしてハッカーフォーラムがあることがわかった．また，管理WebUIに記載されている認証情報を用いてTelnetにログインしシステム内部を探索する攻撃者や，PLCを発見するためのツールを用いて効率的にアクセスを行うスキャンシステムの存在が確認された．

With the spread of the Internet of Things (IoT), IoT devices have been leveraged in industrial fields. It has been reported that there are important facilities using insecure remote monitoring and control systems. To observe attacks on such systems, we have constructed and operated honeypots that imitate the remote control and monitoring systems using real devices. Our observations of several years show that the behavior of visitors changes depending on the amount of information regarding the facilities exhibited in the WebUI of the system. Moreover, we identify that a hacker forum is one of the sources to find the insecure systems. We also observed human-operated multi-stage attacks, in which attackers first access the WebUI, obtain the credential for remote maintenance service, then login to the system using the credentials for further activities. Furthermore, we identify a highly distributed scanning system that conducts well-coordinated Internet-wide scanning while staying under the radar.