ファイア・アイ ブログ:産業用制御システムの脆弱性に関する調査レポートを発表

~2010年のSTUXNET出現以降に急増、 脆弱性の3割以上は公開時に修正パッチが

ファイア・アイは、ICS(産業用制御システム)の脆弱性について、過去15年以上にわたる動向をまとめた調査レポートを発表しました。ICSは日常生活に欠かせない水道・電気配給から工場の製造活動まで、現代社会のインフラを支えている技術です。ICSの脆弱性をついた攻撃は、産業システムのセンサー、制御装置、ソフトウェア、ネットワーク機器などさまざまな領域において深刻な被害をもたらす危険性があります。

本レポートでは、過去に公開されたICSの脆弱性の数が、ここ数年で急増していることが明らかになっています。具体的には、2000年から公開された累計1,600件におよぶ脆弱性のうち、9割が2011年から2015年に発見されたものです。これは2010年にイランの核施設を狙い、世界的にも大きく報道されたSTUXNETの出現が関係しており、ファイア・アイでは今後も増加傾向が続くと推測しています。

<図:年間で公開されたICS脆弱性の推移>

さらに、本レポートでは3割以上の脆弱性について、公開時に修正パッチが存在していなかった点を指摘しています。これまで実際の攻撃に悪用された脆弱性はわずか5件(STUXNETが悪用した2件を含む)にとどまりますが、被害が公にならなかったケースも想定されます。そのため、ICSを設置する企業は今後も脆弱性に対して適切な対処が不可欠です。

ICSのセキュリティを強化するためのファイア・アイからの提言は次の通りです。

  • セキュリティチームは社内のICS資産の詳細(設置場所、制御機能)を把握する
  • 脆弱性対策情報を日々収集し、パッチは速やかに、かつ広域に適用する
  • 設置しているICSの脆弱性が公開されている場合、パッチの有無を確認する
  • パッチが適用されていない、または存在しない製品への監視を怠らない
  • ICSを乗っ取られた場合の危険性を再認識し、脆弱性対策の優先度を上げる
  • このたび公開したブログ(英語)では、レポートに関する詳細を解説しています。本件に関するご質問やご不明な点がございましたら下記ご連絡先までお問い合わせください。

Overload: Critical Lessons from 15 Years of ICS Vulnerability