制御システムの脆弱性悪用攻撃に警戒を、IPAが注意喚起

複数メーカーのSCADAシステムに関する脆弱性情報が公開され、情報処理推進機構が企業や組織のユーザーに確認を急ぐよう呼び掛けている。

[ITmedia]

　情報処理推進機構（IPA）は2月29日、公共インフラや工場の生産ラインなどの管理に使用される制御システムに関するセキュリティ情報を発表した。複数メーカーの制御システム製品に存在する脆弱性情報とコンセプト実証コードが米国で公開され、IPAはユーザーに確認を急ぐよう求めている。

　米ICS-CERTによると、該当するシステムはGeneral Electricの「D20/D20M」、Rockwell Automationの「Allen-Bradley ConrolLogix」「Allen-Bradley MicroLogix」、Schneider Electricの「Modicon Quantum」、Koyoの「Direct LOGIC H4-ES」、Schweitzerの「SEL-2032」の6製品に上る。

　一般的に制御システムは、組織内のネットワーク環境で運用されることが多く、インターネットなど外部ネットワークからの不正アクセスやマルウェアの侵入などの危険性が低いとされる。だが2010年にイランの原子力施設の制御システムを標的にした「Stuxnet攻撃」が発生したことで、制御システムのセキュリティ対策が注目されるようになった。

　IPAは国内のユーザー企業や組織に対して、利用の有無の確認と対応を呼び掛けた。確認すべき事項などは以下の通り。

外部からの接続ルートの存在と分析

• 制御機器の管理のために、インターネットからの接続が可能になっていないか
• 制御機器に対して、組織内のPCからの接続が可能になっていないか
• 従業員が持ち込んだルータやハブなどのネットワーク機器が使用されていないか
• 組織内で使用する無線LANなどが外部から接続できる状態になっていないか
• USBメモリなどの外部記憶媒体の利用が可能となっていないか（利用する場合のポリシーは整備されているか）

対策の検討・実施

• 通信経路における不正なアクセスの遮断（ファイアウォール、IDS/IPSの適用など）
• 通信経路上におけるデータの暗号化とアクセス元の制限、認証
• 情報システム（サーバやPC）へのタイムリーな脆弱性対策パッチ適用
• 制御機器ベンダーから脆弱性対策パッチが提供された場合はその適用の検討
• 情報システムと制御システム双方のトータルな対策の検討