富士電機のV-SFT製品に存在する複数の脆弱性が2025年10月16日にSecurityWeekで報じられた。
V-SFTはヒューマンマシンインターフェース用の設定・開発ソフトウェアで、世界中の製造業などで使用される富士電機のMonitouchシリーズHMIの管理に利用されている。
サイバーセキュリティ研究者Michael Heinzl氏が情報漏洩や任意のコード実行につながる脆弱性を発見した。攻撃者はソーシャルエンジニアリングでユーザーに悪意のあるプロジェクトファイルを開かせ、被害者の権限で任意のコードを実行してシステム制御を奪う可能性がある。
富士電機はバージョン6.2.9.0のパッチをリリースし、日本のJPCERTもアドバイザリを公開した。ベンダーが通知を受けてからパッチリリースまで約4ヶ月を要し、以前の脆弱性では約9ヶ月かかった。
Heinzl氏が発見した20以上のセキュリティホールがここ数ヶ月でパッチ適用された。
From: 
Fuji Electric HMI Configurator Flaws Expose Industrial Organizations to Hacking
【編集部解説】
今回の富士電機V-SFTの脆弱性問題は、産業制御システム(ICS)のセキュリティにおける構造的な課題を浮き彫りにしています。V-SFTは単なる設定ツールではなく、工場の生産ラインや重要インフラを制御するHMI(ヒューマンマシンインターフェース)を構築する中核的なソフトウェアです。このツールが侵害されれば、攻撃者は製造現場の制御システムそのものへのアクセス権を獲得できる可能性があります。
特に注目すべきは、攻撃手法の現実性です。悪意のあるプロジェクトファイルを開かせるだけで任意のコードが実行されるという攻撃経路は、メールの添付ファイルや外部から持ち込まれるプロジェクトデータを通じて容易に実現できます。製造業では協力企業との設計データのやり取りが日常的に行われているため、ソーシャルエンジニアリング攻撃の成功率は高いと言えるでしょう。
パッチリリースまでに4ヶ月を要したという事実も重要です。産業制御システム(ICT)では、パッチ適用による稼働停止やシステムへの影響を慎重に検証する必要があり、一般的なITシステムよりも対応に時間がかかります。しかし、富士電機のリリースノートにセキュリティ修正が明記されていないという指摘は、ユーザー企業がこの脆弱性の深刻さを認識しにくい状況を生んでいます。
研究者Michael Heinzl氏による20以上の脆弱性発見は、このソフトウェアが長年にわたってセキュリティ面での検証が不十分だった可能性を示唆しています。産業用ソフトウェアは機能性や安定性が優先され、セキュリティは後回しにされがちでした。しかし、サイバー攻撃が重要インフラを標的にする現代において、この認識は急速に変わりつつあります。
今後、製造業や重要インフラを運用する企業は、エンジニアリングツールのセキュリティ管理を見直す必要があるでしょう。特に外部から持ち込まれるファイルの検証プロセスの確立や、エアギャップ環境の維持、定期的なセキュリティ監査の実施が求められます。
【用語解説】
HMI(ヒューマンマシンインターフェース)
人間と機械をつなぐ操作・監視用のインターフェース。工場の生産ラインや設備の状態を視覚的に表示し、オペレーターが直感的に制御できるようにするタッチパネルやディスプレイシステムを指す。製造業や重要インフラで広く使用される。
ソーシャルエンジニアリング
技術的な脆弱性ではなく、人間の心理的な隙や信頼関係を悪用してシステムへの侵入やデータ窃取を行う攻撃手法。メールでの偽装、電話での成りすまし、偽のファイル送付などが代表的な手口である。
ICS(産業制御システム)
工場の生産設備、電力網、上下水道などの重要インフラを制御・監視するシステムの総称。SCADA、DCS、PLCなどが含まれ、従来は物理的に隔離されていたが、近年のネットワーク化によりサイバー攻撃のリスクが高まっている。
JPCERT(Japan Computer Emergency Response Team Coordination Center)
日本国内のコンピュータセキュリティインシデントに対応する調整機関。脆弱性情報の収集・分析・公開、インシデント対応支援、国際連携などを担当し、日本のサイバーセキュリティ向上に貢献している。
【参考リンク】
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)(外部)
日本におけるコンピュータセキュリティインシデント対応の中核機関。脆弱性情報の公開、インシデント対応支援、セキュリティ情報の発信を行っている。
富士電機株式会社(外部)
日本の総合電機メーカー。パワーエレクトロニクス、産業システム、FA機器などを手がけ、Monitouchシリーズなど産業用HMIの主要サプライヤー。
SecurityWeek(外部)
サイバーセキュリティに特化した専門メディア。産業制御システム、エンタープライズセキュリティ、脅威インテリジェンスなど幅広い分野の最新情報を提供。
AWESEC(Michael Heinzl氏のセキュリティアドバイザリサイト)(外部)
セキュリティ研究者Michael Heinzl氏が運営するサイト。産業制御システムを中心とした脆弱性情報の詳細なアドバイザリを公開している。
ICS Cybersecurity Conference(外部)
産業制御システムのサイバーセキュリティに特化した世界有数のカンファレンス。SCADA、DCS、PLCなどのセキュリティ専門家が集まる場。
【参考記事】
Multiple vulnerabilities in FUJI Electric V-SFT(外部)
富士電機V-SFTにおける複数の脆弱性についてのJPCERT公式アドバイザリ。4つの脆弱性の詳細とCVSS v3スコア7.8の評価を報告。
富士電機製V-SFTにおける複数の脆弱性 – JVNDB(外部)
日本語版の脆弱性データベース情報。スタックベースのバッファオーバーフロー、境界外書き込み、境界外読み取りなどの技術情報を提供。
CISA warns of critical ICS vulnerabilities in Siemens, LS Electric, Fuji(外部)
米国CISAが2025年6月に発行した産業制御システムに関するアドバイザリ。富士電機を含む複数ベンダーの重要インフラへの影響を指摘。
Fuji Electric HMI Configurator Flaws Expose Industrial Organizations(外部)
2025年10月18日公開の脅威分析レポート。V-SFTの脆弱性が産業組織に与える影響を分析し、攻撃シナリオと対策について詳述。
【編集部後記】
産業制御システムのセキュリティは、私たちの日常生活を支える重要インフラに直結しています。工場の生産ラインが止まれば製品供給が途絶え、電力や水道の制御システムが侵害されれば社会全体が影響を受けます。
今回の富士電機の事例は、設定ツールという「入口」が狙われることで、その先にある制御システム全体が危険にさらされる現実を示しています。みなさんの職場では、産業用ソフトウェアのセキュリティ管理や外部ファイルの検証はどのように行われているでしょうか。この記事が、身近なセキュリティリスクについて考えるきっかけになれば幸いです。
