ICSユーザー組織の脆弱性対応に関する参考資料「ICS脆弱性分析レポート ― 2021年度上期 ―」を公表
制御システムセキュリティ対策グループの堀です。
JPCERT/CCでは、制御システム(以下「ICS」)関連製品の脆弱性情報をインターネットなどの公開情報から積極的に収集し、深刻かつ影響範囲が広いと思われる脆弱性情報が公表された場合には、注意喚起を発行して利用者に広く対策を呼びかけるなど、脆弱性対応に関する支援に取り組んでいます。
こうした取り組みの一環として、ICS関連製品を使用するユーザー組織のセキュリティ担当者が組織内で利用するICS関連製品の脆弱性への対応を検討する際の参考にしていただくため、「ICS脆弱性分析レポート」を公表しました。本レポートは定期レポートとして今後も継続的に公表していく予定です。
ICS脆弱性分析レポート ― 2021年度上期 ―
https://www.jpcert.or.jp/ics/ics-vuls-analysis-report.html
ICS脆弱性分析レポートでは、主に次の2つの内容をとりあげています。
- 特定の期間に収集したICS関連製品の脆弱性情報の中から深刻かつ影響範囲が広い可能性があると判断し詳細分析を行った脆弱性情報の一覧
- 1の一覧の中から特に注目した脆弱性情報について、例を挙げてその特徴やICSユーザー組織向けの対策などを解説
今回の収集期間(2021年度上期)に見られた特徴を一部紹介します。
2021年度上期に詳細分析を行ったICS脆弱性情報を取りまとめた結果、ICSベンダーから対策が提供されない状態で公表されたICS関連製品のファイル読み込みに関する脆弱性情報が散見されました(その後、ICSベンダーからも対策が公表されています)。それらのうち、JVNで公表されている例[1]を挙げて解説しています。
国内のICSセキュリティの向上にはICSの脆弱性への対応も重要なポイントです。しかしながら、セキュリティパッチを適用するにもICS特有の事情を考慮した調整が必要になるなど、ICSユーザー組織における脆弱性への対応は容易ではありません。こうした事情の中でも、ICSユーザー組織で実施可能と思われる対策に関する情報を、継続的かつ定期的に提供できるよう取り組んで参ります。本レポートを自組織のICSセキュリティ対策の参考としてぜひご活用ください。
制御システムセキュリティ対策グループ 堀 充孝
参考情報
[1]JVNVU#92650134:Delta Electronics 製 DOPSoft に境界外読み取りの脆弱性
https://jvn.jp/vu/JVNVU92650134/