2010年にその存在が報告されたマルウエア「Stuxnet」の登場により、重要インフラなどで使用されている制御システムへの脅威とセキュリティー対策の必要性が浮き彫りとなった(Tech-On!の関連記事)。Stuxnetは、イランの原子力関連施設内の制御システムを誤操作させることを目的にしていたと言われている。StuxnetがターゲットとしたドイツSiemens社製の制御システムは、システムの一部(端末)にWindowsを使用していた。StuxnetはUSBメモリに感染した状態で持ち込まれ、Windowsの自動実行機能により端末が感染し、ここを起点にネットワークを介してシステムの深部へと到達していった可能性が高い。
Stuxnetの事件はセキュリティー専門家に二つの点で衝撃を与えた。一つはファイアウォールによって外部からの攻撃から守られ、メールやインターネットを閲覧する機会が少ないと思われる端末、さらに外部との通信を一切遮断している環境であっても、マルウエアに感染する可能性があるということ。つまり、USBメモリなど、別の媒体が使われることで、被害に遭う可能性があるということだ。
もう一つは制御システムという、これまでセキュリティーに関してあまりスポットライトが当たっていなかった部分が狙われたことだ。従来から、制御システムが狙われる可能性は取り沙汰されていたものの、それが顕在化した点が衝撃的だった。
