産業用制御システムの“深刻な脆弱性”が増加、IPA：最も深刻な脆弱性が6割以上に

情報処理推進機構（IPA）が脆弱性対策情報データベース「JVN iPedia」の2013年7〜9月期の登録状況を発表。産業系や組み込み系などに深刻な脆弱性が波及していると警告している。

[西坂真人，MONOist]

　情報処理推進機構（IPA）は2013年10月18日、脆弱性対策情報データベース「JVN iPedia」の2013年7〜9月期の登録状況を発表した。期間中の脆弱性登録件数1807件のうち約36％が最も深刻度の高いレベルIIIに相当。特に産業系や組み込み系など、情報系とは異なる分野のソフトウェアやシステムに深刻な脆弱性が波及していると警告している。

　JVN iPediaは、国内外で使用されているソフトウェアの脆弱性対策情報を収集、公開しているが、2007年4月25日の公開開始から2013年9月末までの累計は4万1816件となった。

　2008年以降は、産業用制御システム（ICS：Industrial Control Systems）に関する脆弱性対策情報が登録されるようになったが、当初は2008年が8件、2009年が10件と低い登録数にとどまっていた。だが2010年には21件と前年比で倍増し、以降は2011年が93件、2012年が173件と急増している。2013年は9月末の時点で108件となっており、そのうち最も深刻度の高いレベルIIIが61％（66件）を占めるなど、産業用制御システムの深刻な脆弱性は、56％だった昨年以上に増加傾向にある。

産業用制御システムに関するソフトウェアの脆弱性登録件数。2011年以降急増している

　2013年2月に米モンタナ州の放送局が利用している緊急警報システムが外部からの攻撃を受け、「ゾンビ出現」というニセの緊急警報が流れてしまう事件が発生した。IPAでは、工場の生産設備などで使用される産業用制御システムの脆弱性関連情報の公開が、2011年以降増えていることを今回のリポートでも指摘。製品利用者やシステム担当者に向けて、脆弱性関連情報を日々収集し、バージョンアップなど必要な対策を実施するよう呼び掛けている。