インターネットに接続されたSCADAシステム(産業制御システムの一種)を制御するために用いられるモバイルアプリには数多くの脆弱性が存在している。こうした脆弱性が悪用された場合、重要なインフラが混乱に陥ったり、損害を被ったりしかねない。
インターネットに接続された発電システムの稼働を支援するモバイルアプリは、ハッカーの標的になり得るとレポートは警告している。
提供:iStock
多くの企業が自社サービスの状況を遠隔地から監視するためにモバイル機器を活用するようになってきており、電力会社や水道会社もその例外ではない。しかし、スマートフォン向けに開発されたアプリの脆弱性によって、こうした企業のシステム全体がリスクにさらされると複数のセキュリティ企業が警告している。
セキュリティ企業のIOActiveとEmbediは、「SCADA and Mobile Security in the Internet of Things Era」(IoT時代におけるSCADAとモバイル機器のセキュリティ)と題するSCADAシステムに関するレポートを発表している。このレポートでは、公益事業会社の使用するモバイル機器が攻撃者によって遠隔地からアクセスされた場合、有害な結果がもたらされると示唆されている。
IOActiveのセキュリティコンサルタントであるAlexander Bolshev氏は「われわれが発見した脆弱性はショッキングなものであり、モバイルアプリがセキュリティに目を向けることなく開発、利用されているという証拠となっている」と述べている。
また同氏は、「スマートフォンのユーザーが不正なアプリをダウンロードした場合、どのような種類の機器にダウンロードしたかにかかわらず、そのアプリは産業制御システム(ICS)のソフトウェアやハードウェアで用いられている脆弱なアプリケーションを攻撃できる」と付け加えている。
研究者らは、「Google Play」ストアで公開されているSCADAシステム向けの「Android」アプリのなかから、34のアプリを無作為に選び出して調査した。その結果、全体で147件の脆弱性が発見された。2015年のレポートでは、20本のアプリから50件の脆弱性が発見されたと記されている。研究者らは、アプリケーションあたりの脆弱性が平均1.6件増加している点から、同分野におけるセキュリティの状況が改善されるのではなく、悪化していると結論付けている。
組織は、SCADAシステムにメリットをもたらそうと拙速で産業向け制御アプリの開発に向かう結果、同環境を構成しているさまざまなレベルのセキュリティ制御を実装し損なっている可能性がある。