パスワードを忘れた? アカウント作成
12616747 story
電力

米国製のスマート風力発電所のWeb管理コンソールにXSS脆弱性、管理権限を奪取可能 5

ストーリー by hylom
XSSで電気を止められるのか…… 部門より
taraiok 曰く、

ISC-CERTは、米XZERES Wind製のスマート風力発電所「XZERES 442SR」のWebベース管理コントロールパネルに重大な脆弱性があることを発表した(SOFTPEDIASlashdot)。

このWebコントロールパネルにはクロスサイトスクリプティング(XSS)脆弱性があり、攻撃によって管理権の奪取が可能になるという。熟練度の低いハッカーでも攻撃が可能で、電気の供給を止めたりタービンの効率を低下させることができるという。

XZERES Windは対策として、手動で各デバイスにインストールするバッチファイルの提供を行っているという。こうしたIoT機器のセキュリティバグの例としては、ハネウェル製のガス検知器でも見つかっている

なお、このXZERES 442SRは日本国内でも運用されている模様(スマートジャパン)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年12月14日 11時10分 (#2934378)

    近づいていく。一般市民を標的にしたサイバーテロの発生も近い

  • by Anonymous Coward on 2015年12月14日 11時40分 (#2934395)

    最近、様々な機器の管理ソフトがWebベース化してるんで
    XSSの影響範囲が大きくなってるね。

    そして、あまり広く流通してないWebアプリケーションのほうが
    「内部運用だけだからいいだろう」とでも思ってるのか、
    脆弱性試験が不十分だったりする。

    しかし内部運用とはいえ、同業者は同じソフトを使ってたりするから
    関係者の中でワルい人が脆弱性を見つければ同業他社は容易にターゲットになりうる。
    いや、自社ですらターゲットにするかもしれない。

  • by Anonymous Coward on 2015年12月14日 14時10分 (#2934471)

    どこかの風力発電所がクラックされたという話かと思ったら、
    インターネット接続可能な小型の風力発電機に脆弱性が見つかったという話だった。
    「スマート風力発電所」って意味がわからないし。

  • by Anonymous Coward on 2015年12月14日 16時45分 (#2934560)

    風力発電機をモータにして高速回転で竹とんぼみたいに飛ばすぐらいの凶悪な脆弱性の方が面白いのに

    #そのうちスマート中央制御室なんて頭悪いことやって制御乗っ取られる原発が出たりして

    • by Anonymous Coward

      出力を意図的に不安定にする事で送電網を攻撃する事も可能性としてはあるのでは?
      送電網が落ちる方が局所被害な竹とんぼより被害がデカいかと。

      風車を飛ばしたいなら大型台風の日に風車のブレーキを強制解除すればお望みの状況になるかも。
      # 竹とんぼみたいに回転軸上でなく、想定外の方向にブレードが吹っ飛びます。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...