Last Updated on 2024-04-19 06:30 by 荒木 啓介
サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、産業制御システム(ICS)デバイスに関するセキュリティアドバイザリを発行し、特定の脆弱性について警告した。このアドバイザリは、Unitronics VisionシリーズPLCと三菱電機MELSEC iQ-Rシリーズのデバイスに影響を与える。
Unitronics VisionシリーズPLCコントローラーは、パスワードを復元可能な形式で保存しているため、リモートからの攻撃に対して脆弱である(CVE-2024-1480、CVSSスコア8.7)。Unitronicsはこの問題に対処するためにCISAと協力していない。CISAは、これらのコントローラーをインターネットから切断し、ビジネスネットワークから隔離し、ファイアウォールの背後で保護し、リモートアクセスにはVPNなどの安全な方法を使用することを推奨している。
三菱電機MELSEC iQ-R CPUモジュールに影響する脆弱性には、CPUの設計上の欠陥があり、パスワードが平文で送信され、容易に傍受される(CVE-2021-20599、CVSSスコア9.1)。さらに、三菱MELSEC CPUには、攻撃者がユーザー名を妨害し、デバイスにアクセスし、正当なユーザーのアクセスを拒否する可能性のある複数の脆弱性が報告されている。これには、機密情報の露出(CVE-2021-20594、CVSS 5.9)、不十分に保護された資格情報(CVE-2021-20597、CVSS 7.4)、および制限的なアカウントロックアウトメカニズム(CVE-2021-20598、CVSS 3.7)が含まれる。
三菱電機はこれらの問題に対する緩和策と回避策を提供しているが、これらのデバイスを持つシステムは修正を適用できない。CISAは、ファイアウォール、リモートアクセスの制限、IPアドレス制限を強化することで、これらの脆弱性の悪用リスクを最小限に抑えるための防御策を講じることを推奨している。
【ニュース解説】
産業制御システム(ICS)デバイスに関する最新のセキュリティアドバイザリが、サイバーセキュリティおよびインフラセキュリティ庁(CISA)から発行されました。このアドバイザリは、特にUnitronics VisionシリーズPLCと三菱電機MELSEC iQ-Rシリーズのデバイスに影響を及ぼす脆弱性について警告しています。
Unitronics VisionシリーズPLCコントローラーは、パスワードを復元可能な形式で保存しているため、リモートからの攻撃に対して脆弱です。この問題は、CVSSスコア8.7と評価されていますが、Unitronicsはこの問題に対処するためにCISAと協力していません。そのため、CISAはこれらのコントローラーをインターネットから切断し、ビジネスネットワークから隔離し、ファイアウォールの背後で保護し、リモートアクセスにはVPNなどの安全な方法を使用することを推奨しています。
一方、三菱電機MELSEC iQ-R CPUモジュールには、CPUの設計上の欠陥があり、パスワードが平文で送信されるため、容易に傍受される可能性があります。この脆弱性は、CVSSスコア9.1と評価されています。さらに、三菱MELSEC CPUには、攻撃者がユーザー名を妨害し、デバイスにアクセスし、正当なユーザーのアクセスを拒否する可能性のある複数の脆弱性が報告されています。
三菱電機はこれらの問題に対する緩和策と回避策を提供していますが、これらのデバイスを持つシステムは修正を適用できない状況です。そのため、CISAはファイアウォール、リモートアクセスの制限、IPアドレス制限を強化することで、これらの脆弱性の悪用リスクを最小限に抑えるための防御策を講じることを推奨しています。
このような脆弱性の存在は、産業制御システムのセキュリティにとって深刻な問題を提起します。これらのシステムは、製造業、エネルギー供給、水処理施設など、社会の基盤となる重要なインフラを制御しているため、攻撃者による悪用が成功した場合、その影響は甚大です。このため、デバイスの製造者とユーザー双方において、セキュリティ対策の強化と継続的な監視が求められます。
また、この問題は、産業制御システムのセキュリティ対策に関する規制や基準の重要性を浮き彫りにします。将来的には、より厳格なセキュリティ基準の策定や、脆弱性の迅速な修正を義務付ける法律が導入される可能性があります。これにより、産業制御システムのセキュリティが向上し、サイバー攻撃によるリスクが軽減されることが期待されます。
from ICS Network Controllers Open to Remote Exploit, No Patches Available.
