221130　第3章個別テーマ3.1 制御システムの情報セキュリティ3.1.2 脆弱性及び脅威の動向

221130　第3章個別テーマ
3.1 制御システムの情報セキュリティ

3.1.2 脆弱性及び脅威の動向
（1）脆弱性の動向
（b）NAME:WRECK
米 国 の サイバ ー セ キュリティ企 業 Forescout
Technologies,Inc.（以下、Forescout 社）とイスラエル
のセキュリティ企業 JSOF Ltd. は、およそ 1 億台ものサー
バや IoT 機器に影響を与える可能性のある九つの脆弱
性「NAME:WRECK」を発見した※ 44。脆弱性は、オー
プンソースの OS である FreeBSD、Nucleus NET、
IPnet、NetX の TCP/IP スタックで発見され、DNS の
実装に関連しており、DoSまたはリモートコード実行を引
き起こす。攻撃者が悪用すると、標的とした機器をオフ
ラインにしたり、コントロールしたりできる。ビルオートメーショ
ン、ファイアウォール、ネットワーク機器から、制御システ
ムや超音波診断装置の機器まで、様々な機器が狙われ
る可能性がある（「1.2.5（3）（a）多数の IoT 製品に影響
する脆弱性」「3.2.2（1）（b）NAME：WRECK」参照）。
（c）BadAlloc
Microsoft Corporation（以下、Microsoft 社）は、
「BadAlloc」と名付けられたメモリ割り当ての脆弱性 25
件を発見した。詳細は「3.2.2（1）（d）BadAlloc」を参照
されたい。
（d）INFRA:HALT
Forescout 社 と JFrog Ltd. は、InterNiche
Technologies, Inc. 製の組み込みシステム用 TCP/IP
スタック「NicheStack」（現在は Tuxera Hungary Kft.
の一部門 HCC-Embedded が保守担当）に影響を与え
る14 件の脆弱性「INFRA:HALT」を発見した※ 45。
「NicheStack」は、製造工場、発電・送電・配電システ
ム、水処理装置等の重要インフラ分野で採用されている。
詳細は「3.2.2（1）（g）INFRA:HALT」を参照されたい。
（e）NUCLEUS:13
Siemens AG は、医療機器、産業用機器、自動車
機器、航空宇宙機器等に搭載されているNucleusリア
ルタイムOS の 13 件の脆弱性「NUCLEUS:13」を発表し
た。詳細は「3.2.2（1）（i）NUCLEUS:13」を参照されたい。
（f）スマートメーター製品の脆弱性
産業用サイバーセキュリティ企業 Claroty Ltd. は、
Schneider Electric SE の ス マ ートメーター 製 品
PowerLogic の二つの深刻な脆弱性を発見した。同製
品は、電力会社、製造業、医療機関、電力ネットワー
クを監視するデータセンターで使用されている電子式電
力量計である。脆弱性にはそれぞれ異なるCVE が割り
当てられた。CVE-2021-22714 は、攻撃者が標的のメー
ターを再起動させ、場合により任意のコードを実行できる。
また、もう一つの CVE-2021-22713 は、デバイスを強制
的に再起動する目的でのみ悪用でき、高い深刻度が割
り当てられた※ 46。
（g）ユニバーサルリレー機器の脆弱性
CISA は、General Electric Company のユニバー
サルリレー機器の深刻な脆弱性に関するセキュリティアド
バイザリを発表した※ 47。同社のユニバーサルリレー機器
のファミリー製品は、エネルギー、製造、医療、輸送等
の世界中の重要インフラで、電源管理に使用されている。
悪用すると、機密情報へのアクセス、機器の再起動、
特権アクセスの取得、またはサービス拒否状態の発生を
引き起こす可能性がある※ 48。
（h）制御システム専用バックアップソリューションの脆弱性
Claroty Ltd. は、Rockwell Automation, Inc. の制
御システム専用バックアップソリューションFactoryTalk
AssetCentre の 9 件の脆弱性を発見した。同製品は、
産業施設全体のオートメーション関連の資産情報を保
護、管理、バージョン管理、トラッキング、レポートする
ための一元化ツールである。発見された脆弱性は、リモー
トで任意のコードを実行できる脆弱性、SQLインジェクショ
ンの脆弱性、及び OSコマンドインジェクションの脆弱性
で、これらの脆弱性を悪用すると、OT ネットワークの
PLC 等の自動化機器上でコマンドを実行できる※ 49。
CISA はアドバイザリを発表した※ 50。
脆弱性が公表された機器の所有者は、脆弱性の影
響及び対応の可否を確認し、速やかに必要な対策を実
施することが推奨される。

所感
脆弱性の一部だと思えるが、技術者として詳細を追求したい
次の章でまとめて。