この脆弱性は、工業用制御システムとプログラマブルロジックコントローラーの欠陥から生じたもので、John Strauchsが率いるチームにより明らかにされた。彼は先頃マイアミで開催されたHacker Halted情報セキュリティカンファレンスで、この欠陥を実証している。これまでにSCADA(工業用制御)キットの経験は無いものの、Strauchsと同僚たちは実行可能なエクスプロイトを開発することができた。彼のリサーチパートナーTeague Newmanの地下に、2500ドルかけて設置したテスト装置を使用して実証したのだ。弁護士であり教師であり、コンピューターセキュリティー研究者でもあるStrauchsの娘Tiffany Strauchs Radも、同リサーチに貢献している。
その結果行われた講演、刑務所におけるSCADAおよびPLC脆弱性(概要は以下)は非常に興味深い。
クリスマス・イブに、ある刑務所長から電話を受けた。死刑囚棟の全監房が開いてしまったというのだ。多くの刑務所および拘置所が、ドアの開閉にPLCを使用したSCADAシステムを用いている。何故それが起きたのか、あるいは起きたのかどうかは不明だが、刑務所長は物理的セキュリティー設計技術者のJohn Strauchsに調査を依頼した。Stuxnetのリサーチを行った結果、RadとNewmanは監房のドアとゲートを「開く」あるいは「施錠閉鎖」するスイッチを遠隔的に操作できることから、刑務所で使用されているPLCに、重大な脆弱性を発見している。この講演では、電子的および物理的セキュリティ設計における脆弱性を検討するとともに、一般公開されているオリジナルのエクスプロイトを使用し、刑務所やセキュリティ保護された政府施設におけるSCADAシステムおよびPLCの脆弱性の検討およびデモを行い、ソリューションを提言する。
リサーチャーたちは、彼らの調査結果に関する書類を州刑務所および連邦刑務所の関係者に引き渡した。これらの人々は調査結果を真剣に受け止めるべき正当な理由があるからだ…
※本記事は有料版に全文を掲載します
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター
