JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は3月28日、2021年度上期における「ICS脆弱性分析レポート ― 2021年度上期 ―」公開した。
ICS脆弱性分析レポートは、JPCERT/CCが詳細分析を行ったICS関連製品の脆弱性情報のうち、特に注目すべき情報についてまとめたものである。2021年度上期版のレポートでは、Delta Electronics製の開発ソフト「DOPSoft」におけるファイル読み込みに関する脆弱性が大きく取り上げられている。
2021年4月から9月にかけて、JPCERT/CCによって詳細分析が行われたICS関連製品の脆弱性情報は下図の通り。
JPCERT/CCによる詳細分析は、同センターが「注意喚起」の発行を検討するために行うものだが、2021年度上期は、上記の脆弱性情報から注意喚起の発行につながるものはな かったとのこと。ただし、一部はICSユーザー組織に向けて公表するべき情報として、次の3件のJVNが作成されている。
- JVNVU#98262671: Advantech 製 WebAccess/HMI Designer に複数の脆弱性
- JVNVU#92650134: Delta Electronics 製 DOPSoft に境界外読み取りの脆弱性
- JVNVU#91051134: Siemens 製品に対するアップデート (2021年5月)
このうち、JVNVU#92650134で取り上げているDOPSoftの脆弱性は、ベンダーから対策が提供されない状態で情報が公開された。そこでICS脆弱性分析レポートでは、これを特に注目すべき脆弱性として、情報が公開された経緯や影響などの分析結果などを詳細に伝えている。