制御システムの脆弱性、「開発元が理解できず」公開が遅れるケースも(エフセキュアブログ) | ScanNetSecurity
2026.01.24(土)

制御システムの脆弱性、「開発元が理解できず」公開が遅れるケースも(エフセキュアブログ)

サイバーディフェンス研究所の福森大喜氏は、ゲストブロガーとして参加するエフセキュアブログで制御システムの脆弱性について紹介している。

脆弱性と脅威 セキュリティホール・脆弱性
25 views
facebookLINE
カンファレンスの際に福森氏が紹介したディレクトリトラバーサルの実例
カンファレンスの際に福森氏が紹介したディレクトリトラバーサルの実例 全 1 枚 拡大写真
サイバーディフェンス研究所の福森大喜氏は、ゲストブロガーとして参加するエフセキュアブログで12月19日、制御システムの脆弱性について紹介している。これは本年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、福森氏が制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表した内容に関連するもの。調査の過程で発見された脆弱性は、米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関であるICS-CERTへ報告した。

その際に報告した脆弱性のうちの1件が、ようやく2012年9月にアドバイザリという形で公開された。しかし、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するにも関わらず放置され続けていることを注意喚起するという内容であった。この脆弱性はディレクトリトラバーサルであったが、脆弱性を理解できず、再現もできないと主張する開発元と、福森氏との再三にわたるやり取りを見ていたICS-CERTが業を煮やした形だ。報告から情報公開までに8カ月近くかかったという。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

    大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

  2. Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

    Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

  3. 大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

    大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

  4. デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

    デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

  5. ホリプロ実施の「ミュージカル『ジキル&ハイド』製作発表オーディエンス募集」の申込受付用フォームで個人情報が閲覧可能に

    ホリプロ実施の「ミュージカル『ジキル&ハイド』製作発表オーディエンス募集」の申込受付用フォームで個人情報が閲覧可能に

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP