中国の産業制御ソフトに脆弱性、米研究者の情報公開で中国当局が対応
中国で広く使われているSCADAソフトの脆弱性を米研究者が発見して通報した。しかし反応がなかったとしてコンセプト実証コードなどを公開した。
中国で広く使われている産業インフラ監視制御用のSCADAソフトの脆弱性が何カ月も修正されないまま放置されていたとして、米国のセキュリティ研究者が脆弱性情報とコンセプト実証コードを公開した。中国のセキュリティ機関CNCERTは1月13日になってこの脆弱性に関する情報を出し、パッチの存在を明らかにした。
脆弱性が指摘されていたのは、中国WellinControl Technology(Wellintech、亜控科技)のSCADAソフト「Kingview 6.5.3」。米国のセキュリティ研究者ディロン・ベアスフォード氏が問題を発見し、2010年9月に同社とCNCERTに通報していたという。
ベアスフォード氏のブログによれば、Kingviewにはコード実行に利用される恐れのある極めて深刻な脆弱性があった。しかしWellintechとCNCERTからは何の返答もなく、数カ月たってもこの脆弱性が修正されなかったため、同氏は対応を促すため1月9日のブログでこの情報とコンセプト実証コードを公開することにしたという。
セキュリティ企業Kaspersky Labが運営するニュースサービス「Threatpost」はこの問題についてCNCERTから、「9月28日にベアスフォード氏から受け取ったメールを見落としていた」と説明するメールが届いたと伝えた。CNCERTは米US-CERTからの連絡を受け、11月になってようやく脆弱性の存在を確認し、Wellintechと協力してパッチの開発に当たったとしている。
ベアスフォード氏も11日のブログで、KingViewの脆弱性を修正するパッチがリリースされたことを確認した。SCADAソフトの脆弱性をめぐっては、独Siemensのシステムを狙ったマルウェア「Stuxnet」が各国で出回って業界を震撼させたばかり。ベアスフォード氏は今回の問題についても、壊滅的被害につながる可能性があったと警鐘を鳴らしている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?
ITmediaはアイティメディア株式会社の登録商標です。