Hitach Incident Response Team

 6月1日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

制御システム製品

 2014年5月末時点で、2010年から発行され始めたICS-CERTのアドバイザリーの総件数が300件を越えました(図1)。発行されたアドバイザリーに含まれているCVEの件数は404件です。

図1●ICS-CERTから発行されているアドバイザリー件数の推移
図1●ICS-CERTから発行されているアドバイザリー件数の推移

■Triangle MicroWorksのSCADA Data Gateway(2014/05/29)

 Triangle MicroWorks(trianglemicroworks.com)のSCADA Data Gatewayは、リソース管理が適切でないために、不正なDNP3パケットを受信した際に、サービス拒否攻撃を許してしまう脆弱性(CVE-2014-2342)が存在します。また、シリアルインタフェースで同様の不正なデータを受信した場合にも発生します(CVE-2014-2343)。SCADA Data Gatewayは、OPCなどの装置からデータを収集するとともに、他の制御システムにデータを提供するためのWindowsベースのアプリケーションです。