Microsoftは、発電所、ファクトリーオートメーション、エネルギーオートメーション、プロセスオートメーションなどの産業施設内の操作デバイスをプログラムするために広く使用されているツール群に、15の深刻度の高い脆弱性があることを公表した。同社は、コード実行やサービス拒否の脆弱性を悪用することは難しいが、脅威行為者は「ターゲットに大きな損害を与える」ことができると警告している。
産業用機器の問題のひとつは、何かが機能せず生産に支障をきたしたり、その他の大きな問題を引き起こしたりしない限り、セキュリティ上の欠陥に対してパッチが適用されることがほとんどないということだ。Microsoftのサイバーセキュリティ・チームは、プログラマブル・ロジック・コントローラ用に広く使用されているソフトウェア開発キットにいくつかのセキュリティ欠陥を発見したため、多くの機械メーカーやインテグレーターは、関連するパッチをできるだけ早く導入する方法を見つけなければならない。
Microsoftの脅威インテリジェンス・スペシャリストであるVladimir Tokarev氏は、レポートの中で、世界中の産業環境で何百万台ものプログラマブル・ロジック・コントローラ(PLC)に使用されているCODESYS V3 ソフトウェア開発キット(SDK)に存在する15以上の欠陥について詳述している。これらの脆弱性はCVE-2022-47379からCVE-2022-47393として追跡され、深刻度は10段階中7.5から10まで評価されている。
このような機器を製造する500社以上のメーカーが、CODESYS V3 SDKを活用して1,000種類以上のPLCモデルをプログラミングし、CNCやロボット工学からモーション制御、データセンターの電力供給、医療技術、安全システム、商業ビルや住宅の自動化まで、さまざまな使用ケースにわたるカスタム自動化アプリケーションを開発している。しかし、Microsoftのセキュリティ・チームは、主にWago社とSchneider Electric社のデバイスをターゲットにした組み込みコードに力を注いだ。
これはエンジニアの作業を単純化する一方で、これらすべてを可能にする組み込みコードは、リモート・コード実行やサービス拒否攻撃に対して脆弱である。また、15の脆弱性を悪用するには攻撃者が認証する必要があるが、工場やエネルギー・インフラにおける産業オペレーションを改ざんしようとする意欲的な脅威行為者にとって、それは大きな障壁にはならないだろう。
Microsoftは2022年9月にCODESYSにその発見を報告しており、CODESYSは問題のセキュリティ欠陥に対処するためのパッチを配布している。システム管理者にとって最も優先すべきことは、CODESYS V3 v3.5.19.0にできるだけ早くアップグレードすることであり、Microsoftのセキュリティ専門家も、PLC、ルーター、その他の関連インフラをインターネットから切り離し、攻撃対象領域を狭めるためにセグメント化することを推奨している。
さらに、Microsoft 365 Defenderチームは、エンジニアや管理者がインフラ内のどのデバイスが脆弱であるか、あるいはすでに侵害されているかを判断するのに役立つオープンソースソフトウェアツールをリリースしている。
Sources
