JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は6月9日、複数メーカーの産業用制御システム(ICS: Industrial Control System)に複数の脆弱性が存在すると伝えた。一部の脆弱性はCVSSv3スコアの評価が重要または緊急に分類されており注意が必要。
深刻度の高い脆弱性については次のページに情報がまとまっている。
- JVNVU#95634783: Thales 製 Sentinel LDK Run-Time Environment における不十分なアンインストール処理の脆弱性
- JVNVU#90811375: Rockwell Automation 製 ISaGRAF5 Runtime に複数の脆弱性
- JVNVU#91693325: Johnson Controls 製 Metasys Servers、Engines、SCT Tools に不適切な権限管理の脆弱性
このところ、産業用制御システムの脆弱性情報が発見されるケースが増えている。これには、産業用デバイスを標的としたサイバー攻撃が増加しているという背景がある。産業用情報システムは一旦導入されると、アップデートが行われないまま使われることがあるため、その配下にあるデバイスはサイバー攻撃で悪用されやすい。
産業用制御システムは、導入された環境によってはシステムを停止してアップデートを適用することが難しいケースがある。そうした場合でも緩和策を適用するなどしてリスクの低減に取り組むことが望まれる。