広く普及するエネルギー施設向け監視システムに脆弱性--さらに悪いことにパッチは不可能

　米国土安全保障省（DHS）は米国時間5月26日、米国の産業用発電プラントやエネルギー施設で主に用いられている、インターネット接続型の産業用監視機器「ESC 8832」に深刻なセキュリティ脆弱性が複数存在していると警告した。

　米コンピュータ緊急事態対応チーム（US-CERT）のアドバイザリによると、プラント内の各種装置の稼働状況を一目で確認するためのデータコントローラであるESC 8832には、「スキルの低い」攻撃者でも簡単に悪用できる脆弱性が存在するという。

　アドバイザリには「同機器は、システム権限別に複数のアカウントをサポートしている。攻撃者はパラメータに対するブルートフォース攻撃を行うことで、該当ユーザーのメニューに表示されていない機能にアクセスできる」と記されている。

　こういったことが可能になるのは、インターネット接続型のこの機器で提供されるウェブインターフェースが簡単に悪用できるようなものになっており、攻撃者に対して機器が許している以上のアクセスを与えてしまうためだ。

　攻撃者は遠隔地から管理者権限の必要な操作を実行でき、システム上の機密情報を閲覧したり、変更することさえも可能となる。

　さらに悪いことに、同機器の開発元であるESCによると、この機器にはセキュリティパッチをインストールするだけの容量が残されていないため、脆弱性にパッチをあてられないという。

　ESCは、インフラ施設や産業施設の制御や記録に用いられるSCADA（Supervisory Control And Data Acquisition）システムとして2001年から2013年までESC 8832を販売していた。10年以上の歴史を持つこの機器の販売が終了したのは、ある開発者によると「部品が入手できなくなった」ためという。とは言うものの、ESCは同機器を2019年1月1日までサポートするとともに、部品在庫のある限り修理とサービスを継続すると述べている。ただし同社は、「ESC 8864」という最新のデータコントローラへのアップグレードを推奨している。

　同社が2012年秋に発行したニュースレターによると、同機器はその時点で4000台以上が現場に配備されていたという。

　同脆弱性は独立系のセキュリティ研究者であるMaxim Rupp氏が最初に発見した。またESCは、別のセキュリティ研究者Balazs Makany氏による報告によって同脆弱性の存在を認めている。Makany氏がその後、2015年5月にエクスプロイトコードを公開した結果、US-CERTは同脆弱性のリスクを最も高い深刻度とした。

　筆者はESCにコメントを求めたが、回答はすぐに得られなかった。