図1は2021年上半期に発見された脆弱性の対象となっている製品の内訳である。ここで「Level 0」〜「Level 3」というのは、ICSのセキュリティーを検討する際によく用いられる「Purdueモデル」における階層のことであり、Purdueモデルは図2のようになっている。

画像を拡大 図1. 2021年上半期に発見された脆弱性の、製品ごとの内訳(出典:Clatory / Biannual ICS Risk & Vulnerability Report: 1H 2021)
画像を拡大 図2. ICSセキュリティーのPurdueモデル(出典:Clatory / Biannual ICS Risk & Vulnerability Report: 1H 2021)

Level 3はパソコンやデータベースサーバーなどで運用管理を行うレベルであり、そのほとんどがソフトウエアの脆弱性となっている。これに対してLevel 1はセンサーやアクチュエーターなどに直接繋がっているPLCなどの機器であり、発見された脆弱性の7割程度がファームウエアに関する脆弱性となっている。これらの中間となるLevel 2は、SCADAなど稼働監視やデータ収集を行うシステムが該当し、ソフトウエアの脆弱性が85%程度を占めている。

本報告書では、Level 1とLevel 2とを合わせて約3割となるところに特に注目されている。その理由は、このような下位レベルの脆弱性を狙って攻撃できれば、機器の動作に直接的な影響を与えることができ、攻撃者にとってより魅力的なターゲットとなるためである。

さらに、下位レベルではファームウエアが脆弱性を抱えている割合が高いことも問題となり得る。一般的にソフトウエアに比べてファームウエアはアップデートしにくい事が多く、機器によってはアップデート不可能な場合も少なくない。このような事情を踏まえて、本報告書では、ネットワークのセグメントを分割する、ネットワークの監視を強化する、リモートアクセスのセキュリティーを厳しくするなどの方法で、下位レベルに攻撃が及ばないような対策を講じることが推奨されている。