「マイナーなソフトウェアは攻撃されない」という誤解|セキュリティ|ブログ|Computerworld

読者の皆様

遅くなりましたが、あけましておめでとうございます。
2012年も蔵本をよろしくお願いいたします。

写真は去年ハワイに行った時に食べたロコモコです。
もうハワイにいる間中、ずっとお腹いっぱいでしたｗ

さて、今日皆様に覚えていただきたいのは、「マイナーなソフトウェアであっても狙われる」という事実です。詳しくお話していきますね。

ウイルス感染や標的型攻撃が相次いでいる状況で、今までほとんどセキュリティ強化策を検討してこなかった企業も、嫌でもセキュリティを意識せざるを得ないような状況になってきたと言えます。

中でも著名な企業は軒並み狙われているため、より一層のセキュリティ強化を検討されている企業が非常に多い状況です。

さて、企業の中で稼働しているシステムというと、OA、勘定系、基幹系――さまざまなものがありますが、工場やプラント、ビル、送電網などの各種設備、装置を制御する産業システムという分野があります。そして、そこでよく使われている制御用ソフトウェアが「SCADA（スキャダ）」です。

これまで、こうした産業システム、制御用ソフトウェアを狙ったウイルスは少なかったため、ウイルス対策どころか、ソフトウェアの脆弱性についてもほとんど検討されることはありませんでした。しかしながら2010年中ごろ、SCADAに感染するウイルスが発見され、大きな話題となりました。それが「Stuxnet（スタックスネット）」です。

Stuxnetが被害をもたらした事例としては、イランの核関連施設が挙げられます。
これは核関連施設のSCADAシステムにStuxnetが感染し、核燃料を精製するための遠心分離器の稼働に支障をきたしたというものなのですが、これまでのウイルスとは、感染した時の社会的インパクトが違うのがよくおわかりになるかと思います。

これまでのウイルスは「絨毯（じゅうたん）爆撃」的な攻撃方法をとっており、とにかく数をさばくことが重要だったので、マイナーな存在である制御用システムが攻撃対象になることはほとんどありませんでした。しかし標的型攻撃になると、使用しているソフトウェアのシェアは関係なく狙われるのです。

攻撃者の攻撃モチベーションが上がるほど、Windows、Mac OS X、Linux、UNIXなど、OSごとの“狙われやすさ”の差はなくなっていくと思われます。単純に、攻撃者が欲しい情報が入っている端末にインストールされているOSが狙われるだけです。

よりいっそう警戒を強めていきましょう！

それでは次回をお楽しみに！