ニュース
» 2011年01月17日 07時30分 UPDATE

中国の産業制御ソフトに脆弱性、米研究者の情報公開で中国当局が対応

中国で広く使われているSCADAソフトの脆弱性を米研究者が発見して通報した。しかし反応がなかったとしてコンセプト実証コードなどを公開した。

[鈴木聖子,ITmedia]

 中国で広く使われている産業インフラ監視制御用のSCADAソフトの脆弱性が何カ月も修正されないまま放置されていたとして、米国のセキュリティ研究者が脆弱性情報とコンセプト実証コードを公開した。中国のセキュリティ機関CNCERTは1月13日になってこの脆弱性に関する情報を出し、パッチの存在を明らかにした。

 脆弱性が指摘されていたのは、中国WellinControl Technology(Wellintech、亜控科技)のSCADAソフト「Kingview 6.5.3」。米国のセキュリティ研究者ディロン・ベアスフォード氏が問題を発見し、2010年9月に同社とCNCERTに通報していたという。

 ベアスフォード氏のブログによれば、Kingviewにはコード実行に利用される恐れのある極めて深刻な脆弱性があった。しかしWellintechとCNCERTからは何の返答もなく、数カ月たってもこの脆弱性が修正されなかったため、同氏は対応を促すため1月9日のブログでこの情報とコンセプト実証コードを公開することにしたという。

 セキュリティ企業Kaspersky Labが運営するニュースサービス「Threatpost」はこの問題についてCNCERTから、「9月28日にベアスフォード氏から受け取ったメールを見落としていた」と説明するメールが届いたと伝えた。CNCERTは米US-CERTからの連絡を受け、11月になってようやく脆弱性の存在を確認し、Wellintechと協力してパッチの開発に当たったとしている。

 ベアスフォード氏も11日のブログで、KingViewの脆弱性を修正するパッチがリリースされたことを確認した。SCADAソフトの脆弱性をめぐっては、独Siemensのシステムを狙ったマルウェア「Stuxnet」が各国で出回って業界を震撼させたばかり。ベアスフォード氏は今回の問題についても、壊滅的被害につながる可能性があったと警鐘を鳴らしている。

関連キーワード

脆弱性 | 中国 | SCADA | Stuxnet


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -