公開日: |更新日:
リアルタイムOS「VxWorks」に脆弱性が見つかる
リアルタイムOS「VxWorks」に脆弱性が見つかるという、深刻なニュース報道がありました。産業機器や家電製品など監視や制御のためのコンピュータシステムが組み込まれた商品を取り扱うエンジニアや経営者の皆さんは、特に注目しなければなりません。
なぜなら、リアルタイム「VxWorks」に脆弱性が見つかったというのは、とても重大な問題だからです。ではどれほど重要な問題なのか、順を追って説明しましょう。
リアルタイムOS「VxWorks」とは?
そもそも、リアルタイムOS「VxWorks」とは何でしょうか?リアルタイムとはパソコンの基本ソフトのOSの一種で、特定の機能を実現するために設計された、組み込み型のコンピュータシステムです。
普通のコンピュータは、単純な情報処理や計算処理を繰り返し行うことを得意とします。一方リアルタイムOSは情報の入出力や通信処理のみならず、製品の機能を制御したり監視したり、他の機械システムと協調したり応答性能を備えるなど、状況に適応しながらマルチな機能を発揮できるのが特徴です。
身近なところでいえば車やスマートフォン。これらは絶えず目まぐるしく動く状況の中で機能を適応させつつ安定的に作動させる必要があるため、内部に制御システムとしてのリアルタイムOSが組み込まれています。
そしてこのようなリアルタイムOSのの製品のひとつが、米国のWindRiver社が開発した「VxWorks」です。
VxWorksに見つかったゼロディ脆弱性
ゼロディ脆弱性とは?
リアルタイムOS「VxWorks」に見つかった脆弱性は、セキュリティ対策上、問題があるとされる「ゼロディ脆弱性」と呼ばれるものです。ゼロディ脆弱性とは、スペックの高さに関係なくシステム全体を危機に陥れてしまう可能性のある、セキュリティ上の弱点のことです。
機能は問題なく作動していますが、セキュリティ上の防御性能が弱く無防備になっており、サイバー攻撃や個人情報の窃取など行われやすいのが特徴です。
「VxWorks」は今回、「リモートホストに接続するときTCPの緊急ポインタが混乱状態に陥る脆弱性」や「リバースARPの論理エラーが原因でDoS攻撃またはメモリ枯渇攻撃を実行可能にする脆弱性」、「ipdhcpcによるIPv4割り当ての論理エラーで通信切断などを引き起こすことが可能な脆弱性」など、全部で11の脆弱性が見つかったと報告。脆弱性群は、「URGENT/11」と名付けられています。
VxWorksにおけるゼロディ脆弱性の問題点
「VxWorks」におけるゼロディ脆弱性の問題点は、大きく二つあります。ひとつ目は、「VxWorks」内部のセキュリティがとても弱く、外部からの攻撃や情報窃取に遭う危険性が高いということです。
万が一、サイバー攻撃の標的にされた場合、コンピュータシステム内部の基幹部分が破壊されて機能不全に陥ったり、個人情報を始めとする重要な情報が外部に持ち出されたりするなど、想定される損害や被害は深刻なものになります。
なお、「VxWorks」は1987年以降、過去に13個の脆弱性しかなかったと報告されています。13個と聞くと安心するかもしれませんが、実際は逆です。
最初のリリースがなされた1987年から今日まですでに30年以上が経っているにも関わらず、過去に13個の脆弱性しか見つからなかったということは、ソフトウェアが堅牢で欠陥が少なかったのではなく、むしろ凄腕のハッカー達に脆弱性が見出されることなく、結果的にセキュリティ上のリスク要因が放置されてきたことを意味します。
脆弱性は既に存在していたが、発見されていなかっただけということです。30年という月日の中で、ハッカーのスキルが向上しあるいは巧妙化したことにより、今回は脆弱性が発見されるに至ったわけですが、その間、長らくセキュリティ対策がなされず、不備と危険性が放置されたことは大きな問題点と言っていいでしょう。
ゼロデイ攻撃への対策
「VxWorks」に限らず、リアルタイムOSでゼロディ脆弱性が見つかった場合は、すぐに対策をとらなければなりません。
開発者や販売者が問題点を解析した上で修正パッチを配布することはもちろんですが、それに加えて、未知のコンピューターウイルスやサイバー攻撃に対する監視や追跡を継続的に行い、常に最新のセキュリティ対策とプログラムを準備しておくことです。
外部からの攻撃性能の向上とセキュリティ対策は常にいたちごっこになるので、 ベンダーもユーザーもその点を踏まえた隙の無い対策を施しておかなければなりません。
まとめ
今回は、リアルタイムOS「VxWorks」に見つかったゼロディ脆弱性について紹介しました。ゼロディ脆弱性の存在は、当該コンピュータシステムにセキュリティ上の不備があることを示すもので、一製品の機能を弱体化させるに留まらず、それと繋がった一連の機器で構成されるネットワーク自体を破壊したり、膨大な量の個人情報を流出させたりする恐れがあります。
専門用語が飛び交う世界の議論なだけに、一般には理解しづらいところもあるかもしれませんが、自動車や携帯電話、さらにはIoT(モノのインターネット)など身近な暮らしにも関係ある問題となっていますので、今回のニュースの概要だけでも抑えておくといいでしょう。
関連ページ
- SCADA MAGAZINE
- 【厳選!】SCADAソフトの料金&機能
- 【業界別】SCADAの活用方法と導入事例
- IIoT新時代で注目度の増す監視制御システム(SCADA)の未来トピックス
- SCADAでよくある質問【FAQ】
- SCADA 最新情報
- 【PR】ロボティクスウェアの製品紹介
- IIoT新時代で注目度の増す監視制御システム(SCADA)の未来トピックス
- SCADAはどうなる?第4次産業革命がもたらす制御システムの未来
- SCADAの国内シェアと海外シェアについて
- SCADAを狙ったサイバー攻撃「Sandworm」とは?
- SCADAは安全?ICSのセキュリティ現状と未来予想
- TEPCO IEC×コンピュマティカ 災害&サイバーに強い電力用SCADAの展望
- 東京電力パワーグリッドが海外輸出を本格化する次世代監視制御システム(SCADA)とは?
- IT、OT、ETの融合を目指すSCADAシステム、横河SCADAソフトウェア (FAST/TOOLS)とは?
- ICSのセキュリティ監視とは?ICSのネットワークトラフィックをAIで分析するSCADAguardian
- 生産性改善を目指すトヨタ自動車がSCADAを採用
おすすめSCADAソフト3選
SCADAを導入するにあたって、自社の環境や仕様、既存機器との連携など、さまざまな点を考慮しなければなりません。開発や導入の工数やコストも含めてトータルコストを加味したうえで、おすすめのSCADAソフトを3つピックアップしました。
コストパフォーマンス、使い勝手など各機能を比較し、導入時・導入後に安心・安定して使用し続けられるかという点を考慮し、「コスパ」「実績」「知名度」別に参考となるパッケージ料金とカタログを紹介しているので、気になるSCADAの詳細を確認したうえで、どんな仕様での導入を検討しているのか、特別な開発が必要なのかなど、具体的な問い合わせを各社にしてみましょう。
-
24時間稼働・既存設備のまま
導入したい製造業向けFA-Panel6
※引用元:FA-Panel6公式サイト
https://www.roboticsware.com/jp/fapanel-features/●一方が故障しても、もう一方が即座に切り替わって処理を継続できる二重化に対応。24時間365日の稼働が求められる製造ラインにも導入可。
●アンドン表示やガントチャートによる稼働監視、ノーコード帳票自動生成、100機種以上のPLCとの接続可能。“追加開発なし”で製造現場の改善サイクルをサポート。
●タグ数無制限・100機種以上のPLCに対応。既存の制御機器をそのまま活かせるため、低コストな導入につながる。
-
監査・品質管理を強化したい
製薬会社・食品工場向けzenon
※引用元:zenon公式サイト
https://www.copadata.com/ja/products/zenon-software-platform/●FDA 21 CFR Part11やGMPに準拠した監査証跡・電子署名に対応しているから、品質保証や監査対応がスムーズ。
●高度なログ保存やアラーム履歴、帳票自動生成機能を搭載。
記録ミスや転記エラーをなくし、GMPにおける現場の記録業務の負担を軽減。●MQTT/OPC UA/REST APIといった新しいプロトコルにも対応。センサーや計測機器、MESと連携できるので、品質記録の一元管理、監査対応体制の強化に。
-
停止や通信断が命取りとなる
大規模プラント・インフラ業界向けAVEVA Plant SCADA
※引用元:引用元:AVEVA公式サイト
https://www.aveva.com/ja-jp/products/plant-scada/●最大50万点のタグ・数百ノードへの接続が可能。大規模プラントでも、設備を分けずに監視できる体制を構築可。
●通信、サーバー、I/Oすべてに対して冗長化機能を備える。災害や障害が発生してもシステムが停止せず、安定した運用を維持。BCP(事業継続計画)対策としても有効。
●制御、運転、監視データを高速収集し、蓄積可能。タイムラグなく正確な制御判断ができ、事故や停止リスクを少なくできる。
