中国製SCADAの脆弱性に対し、米国が警鐘|システム脆弱性|トピックス|Computerworld

　産業システム事業者と連絡を取り合うインシデント対応組織である米国ICS-CERT（Industrial Control Systems Cyber Emergency Response Team）が6月14日に出した警告によると、世界中で使われている中国製の産業用制御システム・ソフトウェアに2つの脆弱性が存在しており、これらが遠隔地から攻撃者に悪用されるおそれがあるという。

　脆弱性が見つかったのは、北京に拠点を構えるSunway ForceControl Technologyの2製品。同社は、防衛、石油化学、エネルギー、水、製造といった幅広い業界分野で使われるSCADA（supervisory control and data acquisition）ソフトウェアを開発している。

　Sunwayの製品は主に中国国内で使用されているが、一部は欧州や米国、アジアおよびアフリカにも流通しているとICS-CERTの勧告には記されていた。

　同脆弱性は、Sunwayの「ForceControl 6.1 WebServer」と「pNetPower AngelServer」において、DoS問題やリモート・コード実行などを引き起こす可能性がある。セキュリティ・テスト企業NSS Labsに所属するディロン・ブレスフォード（Dillon Beresford）氏が、これら2つの脆弱性を発見した。

　Sunwayは5月20日に脆弱性を修正するパッチを配布し、セキュリティ勧告の中でブレスフォード氏の研究成果に感謝の意を表した。ICS-CERTは、現時点では同脆弱性の悪用は確認されていないが、コンピュータ・セキュリティ専門家は基本的に同ソフトウェアへパッチを適用すべきだと促している。

　また、両脆弱性を確実に悪用できるコードをだれかが開発する可能性は低く、これらを悪用するとしても攻撃者には攻撃を「仲介」するスキルが必要になるとICS-CERTは説明した。

　SCADAソフトウェアは重要な企業のインフラや製造プロセスの管理に使用されているにもかかわらず、厳格なセキュリティ監査を受けていないケースがしばしば見受けられるため、セキュリティ研究者らは同ソフトウェアに対する警戒を強めている。インターネットに接続されるSCADAシステムも増えており、必然的にハッカーが同システムに遠隔地から侵入する可能性も拡大した。

　2010年には、「Stuxnet」と呼ばれるきわめて洗練されたワームが発見されている。のちに判明したことだが、同ワームはSiemensの「WinCC」産業用制御ソフトウェアをターゲットにしていた。今日では、Stuxnetはイランのウラン濃縮プログラムを混乱させる目的で開発されたという説が広く信じられている。