SiemensのSCADAシステムに新たな脆弱性か セキュリティ研究者が情報公開

「Stuxnet」攻撃で狙われたSiemensのSCADAシステムに、深刻な脆弱性が新たに見つかったとセキュリティ研究者が伝えている。

[鈴木聖子，ITmedia]

　産業用インフラ管理に使われるSiemensのSCADAシステムに新たな脆弱性が見つかったと伝えられている。セキュリティ研究者がインターネットで経緯を公表し、Siemensの対応を批判した。

　この脆弱性は米セキュリティ企業NSS Labsの研究者ディロン・ベレスフォード氏が発見したもので、同社は5月18日付のブログで「産業制御システムの重大な脆弱性が新たに見つかった」と報告したが、具体的な内容は伏せていた。

　しかし、ベレスフォード氏はセキュリティメーリングリストに寄せた23日の投稿で、この脆弱性がSiemensのシステムに存在することを明らかにした。「産業制御システムに及ぼす潜在的リスクは大きく、世界中の全ての工業国に広く影響が及ぶ」と警告している。

　同氏がSiemensの名を出したのは、この問題に対する同社の対応に不満を持ったからだという。同氏が投稿の中で引用した報道によれば、「Siemensの声明ではこの問題を普通のハッカーが悪用することは難しいとの見方をにじませ、“プロトコルとコントローラに無制限にアクセスできる特別な実験室の環境下で見つかったものだ”と説明している」という。

　しかしこのコメントに対してベレスフォード氏は、「普通のハッカーがこの脆弱性を悪用するのは難しいことではない」と反論。Siemensが回避策として推奨しているセキュリティ機能も簡単にかわせることが分かったとした。

　産業制御システムの脆弱性をめぐっては、Siemens製品の脆弱性を突いたマルウェアの「Stuxnet」が2010年出回り、業界を震撼させた。NSS Labsではこうした脆弱性について、「国家のサイバーセキュリティを脅かす新興の脅威」だと指摘。産業制御システムが攻撃されれば人命の損失や環境被害など、破壊的な影響をもたらす恐れがあると警鐘を鳴らしている。