piyolog

2024年5月1日、太陽光発電施設の遠隔監視機器約800台がサイバー攻撃を受けていたと報じられました。ここでは関連する情報を調べた内容についてまとめます。

監視機器を経由し不正送金

太陽光発電施設の遠隔監視機器がサイバー攻撃を受けているとして、報じたのは産経新聞の次の記事。コンテック社の遠隔監視機器が乗っ取られ、インターネットバンキングの不正送金に悪用されていたというもの。

www.sankei.com

攻撃を受けた機器には脆弱性（記事では「サイバー攻撃対策の欠陥」と表記）が存在。これを悪用されたことで機器上にバックドアが設置され、機器を経由（攻撃者が身元を隠すために踏み台にしたとみられる）して不正送金にかかる操作が行われていた。当該事案については既に静岡県警も不正アクセス禁止法違反の容疑で捜査中とされている。

SolarView Compactの脆弱性を悪用か

脆弱性が悪用された監視機器について、先の記事では具体名は記載されていなかった。ただし、記事中の画像やコンテック社の公表情報、後述する中国のハッカー集団とされる人物らの投稿から、同社が太陽光発電計測システムとして販売している「SolarView Compact SV-CPT-MC310（またはSV-CPT-MC310F）」の脆弱性が悪用されていたとみられる。

SolarView Compactの脆弱性について、コンテック社及びJVNより公表された情報より確認ができた脆弱性はCVEベースで以下の24件。2021年以降公開が続いており、これまでに少なくとも7件の脆弱性実証コードとみられる情報がインターネット上で公開されていることを確認した。さらにコマンドインジェクションの脆弱性であるCVE-2022-29303は、PaloAltoがMirai Bot 亜種の感染に悪用されていると報告していた。*1 またCVE-2022-29303に加え、同じくコマンドインジェクションの脆弱性であるCVE-2023-23333については先のハッカーとされるグループのTelegramに投稿が行われていた。
VulnCheckはSolarView Compactの一部の脆弱性について、記載されていないバージョンにおいても対象外ではなく影響が及ぶケースがあるとして、影響対象の記載が不正確であると指摘している。*2 コンテック社も2023年7月時点の案内では影響を受ける対象バージョンを「8.20未満」と表記しており、最新バージョン*3にアップデートすることが推奨される。なお、2023年以降の脆弱性については、コンテック社より脆弱性情報にかかる公式の情報を確認できないケースが散見され、該当ケースは以下表の影響対象について?を付記している。

公表日	対象脆弱性	対象Ver
2021年2月19日 (JVN#37417423)	CVE-2021-20656 CVE-2021-20657 CVE-2021-20658 CVE-2021-20659 CVE-2021-20660 CVE-2021-20661 CVE-2021-20662 他脆弱性を含む旧バージョンのvsftpd,lighttpdを使用	Ver.6.50より前
2022年5月26日 (JVNVU#92327282)	CVE-2022-29302	Ver.6.50より前
上に同じ	CVE-2022-29303 (PoC) CVE-2022-40881 CVE-2023-23333 (PoC)	Ver.7.21より前
上に同じ	CVE-2022-29298 (PoC)	Ver.7.22より前
2022年6月21日	CVE-2022-31374 (PoC)	Ver.6.0?
2022年7月27日 (JVNVU#93696585)	CVE-2022-35239	Ver.7.23以前
2022年11月29日	CVE-2022-44354 (PoC)	Ver.4.0、Ver.5.0?
2022年12月5日 (JVNVU#93526386)	CVE-2022-44355	Ver.8.02より前
2023年5月8日 (JVNVU#92106300)	CVE-2023-27512 CVE-2023-27514 CVE-2023-27518 CVE-2023-27521 CVE-2023-27920	Ver.8.10より前
2023年5月23日	CVE-2023-29919 (PoC)	Ver.6.0以前?
2023年10月27日	CVE-2023-46509 (関連)	Ver.6.0以前?
2023年12月23日	CVE-2023-40924 (PoC)	Ver.6.0 未満?

2021年2月19日（2021年2月24日更新） [PDF] SolarView Compact (SV-CPT-MC310)の脆弱性について
2022年7月27日 [PDF] SolarView Compact(SV-CPT-MC310)の脆弱性について
2022年12月5日 [PDF] SolarView Compact(SV-CPT-MC310)の脆弱性について
2023年5月8日 [PDF] SolarView Compact(SV-CPT-MC310)の脆弱性について
2023年7月18日 [PDF] インターネットからのSolarView Compactへの不正アクセスの影響について

サイバー攻撃にあった800台

サイバー攻撃の被害範囲に関して、見出しでは「遠隔監視機器800台乗っ取り」、記事リード文でも「約800台がサイバー攻撃を受け」と書かれているが、そのあとの説明では2022年時点で約800台に脆弱性があったと書かれているにとどまり、800台すべてに対してサイバー攻撃（脆弱性を悪用されてバックドアが仕掛けられるなどの状況）が確認されたのかについては十分な説明がされていなかった。
そのため、どれぐらいのSolarView Compactのホストがインターネット上で公開された状況となっているかShodanで簡単な確認を行ったところ、2024年5月2日時点でSolarView CompactとShodanにより判定されたホストは約900台、さらにCVE-2023-23333などの脆弱性タグが付いているホスト数はそのうち約200件が該当した。
別の切り口として当該機器の最初に表示される画面フッター部に注目し、「 Copyright(C) 2007-2023 CONTEC.CO.,LTD. All rights reserved. 」などと記載がされていることから年号よりアップデート時期（対象バージョン）を類推することが可能と判断した。Ver8.20が公開された2023年に更新されたとみられるホスト数をカウントしたところ該当は約120件となった。それ以外の表記されたホスト数が最新版に更新されていないと仮定した場合、インターネットから接続可能な状態でもある約600件のホストが最新状態となっていない可能性がある。一方で、コンテック社は2023年12月までに修正版の公開を終えており、被害はほぼ収束したと説明を行っている。

Shodanで確認できた年号表記	該当したホスト件数
2007-2010	3台
2007-2010	3台
2007-2012	132台
2007-2013	18台
2007-2014	69台
2007-2015	83台
2007-2016	17台
2007-2017	20台
2007-2018	16台
2007-2019	6台
2007-2020	26台
2007-2021	25台
2007-2022	152台
2007-2023	118台

攻撃に関与したとされる中国ハッカー集団

一連の攻撃や不正送金には中国のハッカー集団が関与した可能性があると説明がされている。この関与については韓国のセキュリティ企業S2W社が取材を受け答えたもの。さらにハッカーグループも取材を受けており、不正送金への関りはないと否定する見解を述べていた。
S2W社はこのグループが2023年8月の東京電力福島第一原発で開始された処理水放出に際してサイバー攻撃の呼びかけを行っていたとも取材で話しており、2024年1月にはOpJapanに関する分析レポートを公開している。

medium.com

記事で取り上げられていた「武器庫」と表現されるグループはS2W社のレポートより「Hacker 🇨🇳-军火库」を指していたものとみられる。Hacker 🇨🇳-军火库は2023年8月に処理水放出を受けた攻撃の呼びかけを投稿していただけでなく、SolarView Compactの脆弱性2件に関するPoCなども2023年2月に1回（CVE-2023-23333）、2023年8月に2回（CVE-2022-29303とCVE-2023-23333）Telegramへ投稿していた。一方でHacker 🇨🇳-军火库が不正送金に関与していた可能性があるとS2W社が判断するに至った情報は先の分析レポートやHacker 🇨🇳-军火库のTelegramチャンネルから確認をとることができなかった。