- スペシャル
- 2015/12/21 掲載
制御システムセキュリティ、過去4年の脆弱性は他の分野よりも深刻度が高い-JPCERT/CC
- ありがとうございます!
- いいね!した記事一覧をみる
脆弱性を取り巻く環境はどう変化したか?
ソフトウェアの脆弱性関連情報を流通させる調整機関として、脆弱性アドバイザリを広く一般公開しているのがJPCERT/CCだ。東陽テクニカ主催の「QAC User's Meeting 2015」に登壇したJPCERT/CCの久保正樹氏は、「この10年間で脆弱性を見つけ出す人々が増え、それらの情報が流通する文化が成熟しました。大学の研究者から、“バグハンター”と呼ばれる専門家、システムのSIerなど、多くの人々が日々、脆弱性を発見しています。この脆弱性をカタログにして、世界中でデータを共有する仕組みができあがり、広く浸透するようになりました」と説明する。
このような文化を支える背景には、QA・Cのような静的解析ツールの進歩や、脆弱性発見技術の高度化などが挙げられる。またマイクロソフトやテスラモータなどのように、ベンダーやメーカーが自社製品の脆弱性を発見した人に報奨金を出す制度も一役買っている。
ベンダー側も脆弱性が発見されたら、すぐに対応をしなければならない。そのためにISO/IECでも、脆弱性開示(IESO/IEC 29147:2014)や、脆弱性対応手順(IESO/IEC 30111:2013)などが標準化された。
脆弱性情報を流通させる基盤を支えるものとして、多数の脆弱性カタログがある。代表例は、マイクロソフトの月例パッチにヒモづいた脆弱性情報だ。ベンダーが専用セキュリティページで、どのような脆弱性が、だれにより発見されたのか、どのバージョンで脆弱性対策が施されたのか、そのリストを公開している。あるいはJPCERT/CCのような調整機関が橋渡し役になり、脆弱性を公表するアドバイザリなどもある。
制御システムの脆弱性は、その60%がHMIから発見される
また制御システム製品の脆弱性を集めたものに「ICS-CERTアドバイザリ」がある。ICS-CERTアドバイザリとは、2001年ごろから米国の国土安全保障省の産業制御システムセキュリティ担当機関が、いわゆる制御システムと呼ばれるソフトウェア群の脆弱性報告を受け付け、開発側に修正させるプロセスを踏んで公開されるものだ。「一口に制御システムといっても幅広く、PLC(Programmable Logic Controller)と呼ばれるモーターやバルブなどの制御を行う制御装置や、情報を監視するHMI(Human Machine Interface)のような上位製品、制御ネットワーク専用で使われるルータやスイッチなど、制御システム製品全般の脆弱性を集めて公開しています」
JPCERT/CCでは、制御分野の脆弱性とトレンド、深刻度を調査し、次にどのような対策を練るべきかを検討した。
「その対策の1つとして、開発時に脆弱性をつくり込まないための『CERT C コーディングスタンダード』というコーディング標準の適用についても調査を行いました。調査対象となったICS-CERTのセキュリティアドバイザリは、2013年末までの4年間で445の脆弱性が発見されています」
さらに脆弱性の傾向を知るために、その結果を製品別に分類。すると60%がHMIから発見されている結果が判明したそうだ。これらはユーザーインターフェイスを備え、実際に制御システムを監視するソフトウェアだ。続いて、制御を行うコントローラ(組込みシステム)でも10%ほど脆弱性が見つかったという。
制御系の脆弱性は他分野より深刻度が高い
このような製品群に脆弱性が発見されるなかで、脆弱性の深刻度は実際にどのくらいなのか。この点については、深刻度を定量的に評価するための共通脆弱性評価システム「CVSS v2」と呼ばれる代表的な指標がある。個々の脆弱性の深刻度を0点から10点までの間でスコアリングするものだ。この指標を使って、ICS-CERTが公開したアドバイザリの点数を見ると、調査対象の4年間にCVEと呼ばれる汎用的な脆弱性カタログで登録された脆弱性全般(19012件)の平均値が6.3であるのに対し、ICS-CERTアドバイザリ(442件)の点数は7.5となり、脆弱性の深刻度はICS-CERTのほうが高いことがわかった。また最頻値も最高の10点であり、制御系の脆弱性は他の分野よりも深刻度が高いことがうかがい知れる結果になった。
「個々の脆弱性に対し、それを攻撃するツールや、攻撃できることを証明するPoC(Proof of Concept)のコードがどれだけ公開されているかも重要な点です。なぜなら製品に脆弱性があっても、実際に攻撃できるかわかりませんが、PoCのコードがあれば製品にアタックして攻撃できるかどうかの検証が行えるからです」
ただし、逆に攻撃者がPoCコードを利用してしまう危険もある。この情報が世に出たら、弱点がさらされることになるため、開発者は早急に対応することが求められる。実際に442件のICS-CERTアドバイザリの脆弱性に対し、36%のPoCコードが一般公開されている。そうなると非常に高い確率で攻撃できる条件がそろってしまうわけだ。
「攻撃者は制御系システムの分野に注目し、詳しく脆弱性を追いかけています。攻撃コードまで作成して、自身で脆弱性を発見しているのです」
【次ページ】脆弱性対策としての「CERT Cコーディングスタンダード」
関連コンテンツ
PR
PR
PR