Siemens Drives Rise in ICS Vulnerabilities Discovered in 2022: Report
2023/02/10 SecurityWeek — 産業用サイバー・セキュリティ企業である SynSaber の最新レポートによると、Industrial Control Systems (ICS) で発見される脆弱性の数は増え続けており、その多くが Critical または High という深刻な評価を受けていることが判明した。 このレポートでは、CISA が発表した、2020年〜2022年における ICS とメディカルのアドバイザリの件数を比較している。アドバイザリの数は、2021年〜2022年でほぼ同数の 350件であるが、昨年に発見された脆弱性の数は、前年の 1,191 件から 1,342 へと増大している。
また、Critical と評価された脆弱性の数は、2021年の186件から 2022年の 300件近くへと、さらに大きく増加している。合計で 1,000件近くの脆弱性が、CVSS スコア・ベースで Critical または High と評価されている。
ICS における欠陥を判断する場合においても、CVSS スコアは誤解を招く可能性があり、パッチの優先順位付けに単独で使用すべきではない。ただし、これらのスコアは、組織における適用の順位付けに役立つ可能性がある。
Synsaber のレポートによると、ICS 脆弱性の量に関して、Siemens が突出していることが分かる。2022年に発見されたセキュリティ・ホールの多くが、Siemens 製品に影響を与えている。そして、このドイツの巨大産業企業は、他のベンダーよりも遥かに多数の脆弱性を自己申告している。
Siemens の製品セキュリティチームは、2022年に 544件の脆弱性を報告しているが、その数は前年の 230件から大きく増加している。2番目のベンダーは日立であり、64件 のバグを申告している。
SynSaber は、「Siemens の製品セキュリティのチームは、前年比で約3倍という大幅な伸びで、報告のペースを高め続けている。そのため、Siemens 製品に関連する CVE の数は他と比べて多いが、それにより、Siemens 製品の安全性が低いと見なすべきではない。それどころか、成熟した反復可能な OEM の自己報告プロセスは、他のすべての OEM が達成すべきものだ」と指摘している。
Siemens は、数十件/月のペースで脆弱性に対処しているが、その多くは、同社製品で使用されているサードパーティ・コンポーネントに影響を及ぼすものだ。
昨年に発見された脆弱性の数は多いが、悪用が成功する要素として、3分の1近くがユーザーによる操作を、4分の1が対象システムへのローカル/物理的アクセスを必要としている。ただし、2021年と比較すると、ユーザーとの対話やローカル・アクセスが不要な欠陥の割合が増大している。
過去3年間のデータを見ると、心配な点として、”Forever-Day Vulnerabilities” (パッチが適用されない可能性が高い欠陥) の数が、2021年の 14% から2022年の 28% に増加している点が挙げられる。
ICS の脆弱性は、ソフトウェア/ファームウェア/プロトコルのいずれかに、影響を及ぼす可能性がある。それらの各カテゴリーで発見された問題の割合は、2020年から2022年の3年間の平均で、ソフトウェア 56%/ファームウェア 36%/プロトコル 8% という値であり、ほぼ一定になっている。
この記事の元データとなるレポートを提供する SynSaber は、のIndustrial Control Systems (ICS) のセキュリティを追いかけ続けるセキュリティ企業とのことです。これまでにも、2022 H1/2022 H2 の脆弱性レポートに関する記事をポストしていますので、今回の Industrial CVE Retrospective – 3 Years of CISA Advisories 2020 – 2022 に加えて、それらもご参照ください。
IoT OT Security News 
You must be logged in to post a comment.