脆弱性は制御システムにも――JVNがOPCサーバの脆弱性情報を公開

JVNは3月16日、たけびしが提供するデバイスエクスプローラOPCサーバ、6製品に存在する脆弱性情報を公開した。

[ITmedia]

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）が運営する脆弱性情報サイト、JVN（JP Vendor Status Notes）は3月16日、たけびしが提供するデバイスエクスプローラOPCサーバ、6製品に存在する脆弱性情報を公開した。国内で制御系システムの脆弱性情報が公開されたのは、これが初のケースとなる。

　デバイスエクスプローラOPCサーバは、シーケンサなどの計測機器と通信し、計測データをアプリケーションに受け渡す製造現場向けの制御用システム。アプリケーション間通信インタフェース「OPC」（OLE for Process Control）プロトコルを介して通信を行う。

　ところが一連の製品では、このOPCプロトコルの実装に問題があった。細工が施されたパラメータを受け取るとバッファオーバーフローが引き起こされ、任意のコードが実行される恐れがある。

　たけびしでは、問題を修正したソフトウェアの最新バージョン「デバイスエクスプローラOPCサーバ V3.12 Build 3」を公開し、適用を呼び掛けている。また、制御系システムゆえに即座の適用が困難な場合は、Windows RPCの設定を適切に制限したり、OPCサーバ／OPCクライアント間のアクセス制限を実施するよう推奨している。