産業用制御システムを対象とする攻撃が増加傾向--JVN登録状況(IPA)
IPAは、2013年第3四半期(7月から9月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
脆弱性と脅威
脅威動向
また、件数が多い脆弱性は「CWE-119(バッファエラー)」が217件、「CWE-79(クロスサイトスクリプティング)」が187件、「CWE-264(認可・権限・アクセス制御の問題)」が130件、「CWE-20(不適切な入力確認)」が115件、「CWE-399(リソース管理の問題)」が58件、「CWE-94(コード・インジェクション)」が54件などとなっている。
登録している脆弱性対策情報に関する注目情報として、「Webサイトの改ざんに悪用されているソフトウェアについて」および「重要なシステムにおけるソフトウェアの脆弱性について」の2点を挙げている。Webサイトの改ざんについては、Apache Struts、Parallels Plesk PanelといったWebアプリケーションフレームワークやミドルウェア、WordPress、Drupal、Joomla!といったCMSなどが攻撃に悪用されやすいソフトウェアであるとしている。また、重要なシステムにおけるソフトウェアの脆弱性については、これまでの攻撃は主に情報系を対象としていたが、産業系や組込み系など、情報系とは異なる分野のソフトウェアやシステムにも波及してきている。中でも、工場の生産設備等で使用される監視モニタ等の産業用制御システム(ICS:Industrial Control Systems)の脆弱性関連情報の公開が2011年以降増えている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/