海外コメンタリー

SCADAシステムに忍び寄る脅威--間違ったモバイルアプリ設計が生み出す危険性 - (page 2)

Danny Palmer (ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2018-01-16 06:30

 IOActiveのアドバイザリサービス担当ディレクターであるJason Larsen氏は米ZDNetに対して、「アーリーアダプターらは、ICSで通常期待されているような保守的かつ実績ある開発手法を採用せずに、モバイル分野で一般的となっている高速アプリケーション開発(RAD)と類似した考え方でアプリを構築している」と述べている。

 研究者らによると、調査対象となったアプリの94%にはコードの改ざんを許す脆弱性が潜んでいるため、ルート化された機器を用いることで、アプリケーションの詳細を暴き出したうえで、ユーザーインタラクションをほとんど必要とせずに悪用できる可能性があるという。

 また、調査対象アプリの59%は、セキュアでない認証という問題を抱えていることも明らかにされている。さらにそれらアプリのなかには、適切なユーザーが操作しているかどうかを確認するためのパスワードといった手段すら実装していないものもあったという。機器がパスワードによって保護されていない場合、攻撃者はユーザーの手元を離れている、あるいは盗まれた機器を物理的に操作したり、マルウェアを用いて遠隔地から操作したりできるため、大きな脅威がもたらされる可能性もある。

 調査対象アプリの53%ではコードが難読化されておらず、リバースエンジニアリングできる状態になっているという問題も浮かび上がっている。これにより攻撃者は、アプリの内部動作を調査し、適用されているパッチと適用されていないパッチを見極められるようになる。

 また、調査対象アプリの半分弱ほどで、セキュアでないデータストレージが発見された。これを悪用することで攻撃者は、SCADAシステム関連のアプリやデータにアクセスできるようになる。レポートには、攻撃者がシステムを混乱させたり、さらなる攻撃を実行に移すためのデータの改ざんが可能になると記されている。

 とは言うものの多くのケースでは、特定の攻撃を実行に移すうえでスキルと、システムに関する知識が必要となるはずだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]