2021年3月31日

『ヒェッ!』アメリカの水道施設がサイバー攻撃された事案のセキュリティ事情を知るとひゅっとする「上司かな、と当初スルー」

便利だけど、なんでも遠隔操作できるようにしないことも大事。
179
DeepOne @Innsmouth_h

アメリカの水道施設がサイバー攻撃で水質を操作されたというニュースを読んでヒエッ……となった後、 ・水道施設のシステムにはFWがなかった ・パスワードを全員で共有していた ・PCはサポート切れのWindows7を使っていた ・不満を持った職員が犯人と思われる と書いてあってさらにヒエッっとなった

2021-03-30 11:06:43
DeepOne @Innsmouth_h

自分が読んだのは日経ネットワークの記事だけど、 検索したらyahooに同じ事件のニュースがあったのでURL貼っときます news.yahoo.co.jp/articles/cff5a…

2021-03-31 00:04:42
リンク Yahoo!ニュース ハッカー侵入の米国の水道施設が「Windows 7」を使い続けていた理由(Forbes JAPAN) - Yahoo!ニュース 米フロリダ州の水道の浄水施設のシステムに2月5日、何者かが侵入し、管理メニューの設定が人体に危険を及ぼすほどの化学物質を添加するように変更された事件は、世界中から大きな注目を集めた。そして今、事件の 2 users 39
雷更新世 @pleist

「浄水施設が使用するような用途が限定されたアプリケーションは、新しいバージョンのOSに対応していない場合も多く、やむなく古いOSの利用を続けている場合がある」あー。にしてもPW共有は駄目だな。 ▶ ハッカー侵入の米国の水道施設が「Windows 7」を使い続けていた理由 forbesjapan.com/articles/detai…

2021-03-31 13:43:22
オカダリョウタロウ @okdt

@Innsmouth_h 「リモートでコントロールされているパソコンを見て、上司かなと思って当初スルーしていた」というのを聞くとさらに

2021-03-30 17:23:44
オカダリョウタロウ @okdt

@Innsmouth_h 「5日朝、施設のオペレーターがシステム内へ侵入しようとする動きに気付いたが、上司が行っているものだと思ったという。 しかし同日午後、ハッカーは再び侵入...処理ソフトウェアにアクセスして水酸化ナトリウム濃度を通常の100ppmから100倍以上の1万1100ppmに引き上げた」 bbc.com/japanese/55991…

2021-03-31 09:10:38
リンク BBCニュース 米フロリダ州の水道システムにハッカー侵入、有害物質を大量に加えようと - BBCニュース 米フロリダ州オールズマーで5日、水道システムにハッカーが侵入し、人体に「有害な」濃度の化学物質を水に加えようとした。当局が8日に明らかにした。 8 users 310
あきや @akiya9696

スレッド読んでますます怖くなった >RT

2021-03-31 16:13:08
ジュウス @10thMosq

サイバー攻撃でインフラが脅かされるなんてフィクションの世界だけかと思っていたけど、実際あるのね。 そしてセキュリティーがガバい… twitter.com/Innsmouth_h/st…

2021-03-30 20:09:11
シロ @kso_kzk

電光超人グリッドマンの世界だこれ… twitter.com/Innsmouth_h/st…

2021-03-31 07:36:34
らんらん @nexpso

セキュリティ基礎以前の一般常識レベルが出来てない上に、役満で感じでウケる OSは場合によってしゃーないのもあるのかもしれんが、他がヤベエぜ 本来やらなきゃいけないところを「めんどくさい」「関係ない(と勘違いしている)」としちゃって、結果多大な損失を受けるやつ twitter.com/Innsmouth_h/st…

2021-03-31 09:51:13
ゆーく(Euke)🥺😸 @t0mm1tter

@mentor_zafar @okdt @koheigorila @Innsmouth_h これが正常性バイアスの恐ろしさ 「…まさかね」で済ませちゃうアレ

2021-03-31 01:27:41
いすけ @daisuky_jp

ヒェ~! これ、そのへんの会社で沢山ありそう。 twitter.com/Innsmouth_h/st…

2021-03-30 21:09:35

まず、セキュリティが甘い気がする

伊熊 @imariyaki0810

@TOz4igLnApeJNm6 @Innsmouth_h いや、これ大事な施設なのにセキュリティがくっそ脆いって話では

2021-03-31 15:26:30
くわす @kuwas_h

全社共通パスワードをクリティカルな部分に使うな

2021-03-31 16:59:17

人災の部分も大きい

人災を防ぐためのシステムが機能しないような運用になってたというか…。

かえるん @kaerun100

これ、Windows10なら防げたとか、そういう問題じゃないんでは? twitter.com/Innsmouth_h/st…

2021-03-31 05:29:42
きとさん @kitori_jp

WinXPなどサポ切れOSが残る事はままあるけど、それをオンラインでつないでおく運用はさすがに驚くわ。 でも内部犯行だから一応OSとは別のセキュリティ問題かtwitter.com/Innsmouth_h/st…

2021-03-31 10:29:10
ムタマック @mutamac

パスワード共有と内部の反抗だったら、OSが最新だろうとFWが強固だろうと関係ない。 twitter.com/Innsmouth_h/st…

2021-03-31 07:33:34
じったん。 @QTjittan

ライフラインを握ってる人がブロークンハートになって暴走するの怖いな…。

2021-03-31 16:15:32
残りを読む(10)

コメント

もりぞー @mo_ri_zoo 2021年3月31日
フォワードがいないのに守りが弱いとはなんたることか
4
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2021年3月31日
セキュリティガバガバとかいう次元じゃねぇ…… 確か日本はシステム隔離だったと記憶してるけど……(元技術者並感
32
うの @uniquis 2021年3月31日
上水道の管理コストそんなんか 水道代が安そう、そして水質が普段から悪そう
10
だりい @dariidariidarii 2021年3月31日
水道民営化の未来 水道民営化ごり押ししてる人は見てほしい
83
だりい @dariidariidarii 2021年3月31日
これ、日本でも民営化されたら起こるとおもう。あと、アメリカの水道の水質は、鼻うがいやってたら殺人アメーバ混入していて死亡!なんてことが起こるレベルでヤバイ。
62
白石玄人 @ShiraishiGento 2021年3月31日
「水道を民営にしたらやすいどー!」なんてやってるとこんなことが起こるわけだ。
60
白石玄人 @ShiraishiGento 2021年3月31日
インフラが官、官営寄りでいてほしいのは、こういうことがあった時の後始末や原状復帰を躊躇なく出来るからなんだよなぁ…。
106
FX-702P @fx702p 2021年3月31日
「わざわざB-CASカードの解析なんてするやついるわけないじゃないか」
7
Tadashi @tadashifx 2021年3月31日
OS以前の問題じゃね? (つーか、設備系ならWindows7と言ってもEmbeddedだった可能性とかないのかな?元のニュースまで当たる元気ないからわからんけど…。)
5
あまもく⋈ コロナワクチン接種済み @amamoku 2021年3月31日
民営化しようが公営のままだろうがセキュリティがばがばだとこうなるって話やろ。
60
白石玄人 @ShiraishiGento 2021年3月31日
Kirara1314 ゲスいおででもそんなのはヤダ。
8
aa @aa60006342 2021年3月31日
内部犯だとセキュリティ以前の問題だしクリティカルな操作をリモートではできないようにするぐらいしか対処法はないかな
13
ビザールさん @bizarre_box 2021年3月31日
すいどうきょくの電脳にアクセスして奥にいるネットナビを倒せばいいんだろう?
12
alan smithee @alansmithy2010 2021年3月31日
dariidariidarii 追加でこれも見せたい | ドキュメンタリー映画 ザ・フロウ https://youtu.be/28_uogc4tpw
0
alan smithee @alansmithy2010 2021年3月31日
ウィリアム・クラークの「大予兆」て小説がまんま水道施設をコントロールして大規模の疫病を起こしたりするサイバーテロの話だったな https://iss.ndl.go.jp/sp/show/R100000002-I000001743451-00/
1
かわいいは正義 @shimesaba_type0 2021年3月31日
これ見て我が振り直してくれたらいい
0
笑うMr.X @mrx29www 2021年3月31日
不満を持った職員が犯人って、ジュラシックパークの世界ですね。
1
くらま @wSuRkRBl5YXX0wa 2021年3月31日
vs鉄道のシステムにFLASH使ってた中国
1
スリーS @Super_S_Shoborn 2021年3月31日
bizarre_box コンピュータ・ワールドで怪獣を倒すんだよ!
3
ふぁむ氏 @phantom0730 2021年3月31日
さいしょ水質を「人質」のノリで『みずじち』と読んでしまった
6
飛鳥明日香💉💉 @Asuka__M 2021年3月31日
この事件、以前何かで読んだが串を何重にも挟んでいた(当然だろう)のでリモートアクセス元が追えてなくて犯人はわからない、ということではなかったかな
0
スロバキアーニ @slovakiani 2021年3月31日
dariidariidarii まだ机上の空論でしかないモノを後出しじゃんけんのように提示して、「既存のものがいかに古くて劣っているか」を熱弁する人達っていらっしゃいますよね。
0
スロバキアーニ @slovakiani 2021年3月31日
民間でも公営でも同じってことは無いでしよう…と思ったものの、何重もの下請けを使って人材コストけちってると、この前の銀行のシステムのソースコードを年収判定のために漏洩したみたいなことが起きるでしょうね。
48
スロバキアーニ @slovakiani 2021年3月31日
本当にロックマンエグゼのような世界になってきました。電子レンジの火災、電子ロックの不正解錠・施錠、信号機の暴走、鉄道の制御不能、銀行の預金額不正操作…選り取り見取りですね苦笑
3
ミサイル @junko_missile 2021年3月31日
仮にWindows 10使ってても内部犯じゃ無理くね?
24
もるしつりょー @mollgra__munyu 2021年3月31日
民営化の利点はこういうことが起こっても企業に責任を押し付けられること。何故国が民営化を推めるか分かるよな
0
柳瀬那智●10/24 みちのくコミティア(ビッグパレットふくしま)E-11 @nachi_yanase 2021年3月31日
水道水に水酸化ナトリウム?って思ったらpH調整に使うんかなるほど……
4
マシン語P @mashingoP 2021年3月31日
リモートアクセス不可なら犯行に及ぶために出社せねばならず、入退出記録や監視カメラに残るからハードルは上がる。自暴自棄になって決行する内部犯行者は防げないが、それでもハードルを設けるのは重要。
4
たけ爺 @take_ji 2021年3月31日
”・不満を持った職員が犯人と思われる” どれだけ最新鋭のOS使っていようがFWあろうが、無理だと思う。
29
新井春陽 @a_lie_haruhi 2021年3月31日
ShiraishiGento あぁ!なるほど!や「すいどー」ってことか!
6
rambda(仮) @rambda_kari 2021年3月31日
tadashifx junko_missile OSのセキュリティホール突かれたわけじゃないからな…… 7であることが今後何かの問題の引鉄になる可能性はあるけど、今回の問題とは関係ないね。
25
櫻子。@BOOTHでもちマス帽子頒布中 @sakurago_cc 2021年3月31日
昔務めてた民間の小企業で、パスワード変更を怠ったせいで、鯖缶退職後にサーバの中身全部吹っ飛ばされました。
2
ggdxxdewuofunc @a_tts 2021年3月31日
これを民営化の未来だとか言ってる人はそういう次元の話じゃないことをいい加減理解してほしい。 WindowsXPサポート終了時のゴタゴタを何も覚えていない。
16
ggdxxdewuofunc @a_tts 2021年3月31日
公務員にどれだけの値下げ圧力が掛かってると思ってんの。
3
oppappi @oppappi112 2021年3月31日
いやぁこれその操作をするPCを従業員が外部からアクセスするためにFW無効化してTeamViewerを操作待ちでずっと待機させてたんでしょ。OSもクソもないし内部犯どうのもなぁ。どうぞしてるようなもんやん…
1
yuki🌾㊗️6さい🎉⚔ @yuki_obana 2021年3月31日
アイスマンかわいかったなぁ〜氷川くんだっけ、いいショタだったよ(´・ω・`)うんうん。ロックマンエグゼ、トランスミッション!!で解決するっきゃねぇな!!
1
hizen31415 @hizen31415 2021年3月31日
内部犯ならPC使わずとも貯水池に直接有害物を投げ込めるだろうって考えで、PCセキュリティを甘くしてたんだろうな。
0
苔屋 @nimotosir10 2021年3月31日
水処理関係で働いてる人間だけど、水質で良かったな 水位操作されてたら、逆流で街が水没するよ
8
nekosencho @Neko_Sencho 2021年3月31日
世界征服をたくらむ悪の秘密組織じゃなくて、不満を持った従業員に水道テロやられるのか……
0
平尾 由矢(パブリックエネミー) @astray000 2021年3月31日
あのね、Steamに「INFRA」ってゲームがあってですね。そして、水道局のステージとかあったりするんですよ。関係ないけど。
0
平尾 由矢(パブリックエネミー) @astray000 2021年3月31日
あっちは、不満を持った従業員じゃなくて、ガチなカルト集団が原因でしたけどね。
0
鹿 @a_hind 2021年3月31日
民間出すと関わる人間のチェックがどこまでできるのかあやしいし、利益優先になるから内部管理がグダグダになるリスクもある。官営なら絶対ならないってことはないけど可能性は民間のが高かろうな。それから機器やシステムも新しくしてガバガバな状態よりやりづらい状態になっているならそれだけで心理的ハードル上がるから防ぎやすくはなると思うよ。ただ、最後はやっぱり人だからリスク度外視してもどうしてもテロってやるって思ってる内部犯がいたらどうにもならんだろうけど。
13
Ikunao Sugiyama @Dursan 2021年3月31日
「水だらけのとこに防火壁なんかいるわけ無いやろがい」
1
RAIYA@提督 @RAIYASB 2021年3月31日
slovakiani システム運用で働いてたけど、大手は専用システムで監視してたし、静脈認証等で認証した人しか入れないよ 操作権限についても、無許可で入れるようなのはあまり無い まぁあくまで自分が行ったことの有る大手の話だが
4
RAIYA@提督 @RAIYASB 2021年3月31日
a_tts 民間のほうがこういったセキュリティにはうるさかったりするからな
8
ゆーき @yuki073 2021年3月31日
RAIYASB 民間だと大きいところはセキュリティでミスるとすぐに切られる危機感があるからなぁ。
4
楽天 @Rak2525_Ten 2021年3月31日
この顛末で、公営なら安全民営化は危険と言う結論に至る理由がよくわからない
17
T_Taka @t_taka 2021年3月31日
侵入防止センサー故障しまくって放置されてた上に、社員も他人のIDカードで入退室しててセキュリティ意識ガバガバなことが露呈してしまった柏崎刈羽原発も相当やばい。
1
おこそとのホモよろを @aiueo2341 2021年3月31日
yuki073 切られた人が不満分子になって・・・ってことも往々にしてありますけどね。
4
L @l1111111111_l 2021年3月31日
もしオンラインセキュリティーが鉄壁だとしても、この犯人のやる気をみるにオフラインで爆弾送り付けてきそうだよな。アメリカン!
0
mikunitmr @mikunitmr 2021年3月31日
公営のままなら職場に不満を持つ職員がいないとでも?
1
遠藤 @enco2001 2021年3月31日
nimotosir10 上水施設だとポンプフル回転させてもオーバーフローするだけですぐには処理場から溢れ出ないだろう(その前にアラーム発する)から、より致命的かつバレにくい薬液量をいじったんでしょうねえ
0
若葉 @byaaashi 2021年3月31日
アメリカはこの辺めちゃくちゃ厳しいイメージだったから意外すぎる
0
leper @output201 2021年3月31日
アメリカの水道ならフリントが悪名高い
0
彼方 @far_away0w0 2021年3月31日
水道局の電脳にプラグインしなきゃ...
0
いぶし @robodama 2021年3月31日
世に悪ぁ尽きないってな
0
たかみん/りんと🐏 @r_takamine 2021年3月31日
外部から簡単にアクセスできるようになってるの、お偉いさんが有事にアクセスできるように空けておかないと怒られるみたいな話を聞いたことがある。いっそ事案になってしまえばいいのにと思った。
0
いかおとこ @mororeve 2021年4月1日
現代で水道汚染罪案件初めて見た
0
IheY @kujira090 2021年4月1日
運用がダメなら何をやってもダメ。 水道民営化は別問題で、市街化区域を広げすぎているバカな市町村が水道インフラ維持できないって話。
0
kartis56 @kartis56 2021年4月1日
民間の内部犯だと生命保険の職員で19億詐取してたのとかいるし
0
痛日記P @IDOLort6 2021年4月1日
水道民営化はNEXCO形式だって散々言われてるんだが? 水道民営化について語りたいならせめて厚労省のHPぐらい見てください
4
YF(annex38) @annex_38 2021年4月1日
田舎の役所はDOS時代のソフトをDOS窓で走らせてるぞ
0
luckdragon2009(rt多) ワクチン×2済 @rt_luckdragon 2021年4月1日
TeamViewer による操作なら OS 関係ないのでは。これ操作時の認証番号が同じだったんでしょ。
0
luckdragon2009(rt多) ワクチン×2済 @rt_luckdragon 2021年4月1日
操作権もっているなら、ほぼ全部の操作できるんですよね。対象 PC 再起動、その後の接続なんかも。
0
luckdragon2009(rt多) ワクチン×2済 @rt_luckdragon 2021年4月1日
クライアント側の番号は総てユニークなので、操作設定パスワードとして同じ設定にしたと思われる。
0
不死身の見習い羅針盤/🏴‍☠️&ホロ箱推し @Kishiba3 2021年4月1日
天下のサイバー大国アメリカでもこんな事例あるんだな。別に日本だけがITダメってほどでもないか。統計レベルはどうあれ。
0
watyu @watyuking 2021年4月1日
この話で民営化批判するのは公務員に幻想もち過ぎだし、日本のインフラで使ってるOSも古いの多い。下手するとXP以前のもあり得る。でも、この問題の本質はPWの使いまわしだと思う。
1
RAIYA@提督 @RAIYASB 2021年4月1日
rt_luckdragon TeamViewerが繋がる≒インターネットに出てるという点もやばいところ 多分インターネット通じて各所の水道設備を操作できるようにしてたんだろうけど、しっかりとしたところは外部との通信はできなくしてる筈だし
0
KiM!(手洗い・マスク・引きこもり) @ktwit142 2021年4月1日
プラントセキュリティの文書見てると「内部犯行に備えよ」「大ごとになるまでの時間を稼げ」「仕組み行動マネジメント怠るな」と書いてある。古いOSやパスワード使い回しは論外として、内部犯行に至るマネジメントはどうなっているのかと思う。
0
yukinoda_jp @yukinoda_jp 2021年4月1日
Embeddedの保守っていつまでだっけ、と思って調べたら去年切れてるね。3倍役満って感じw
0