Last Updated on 2025-06-04 09:22 by admin

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年5月29日、スウェーデンのConsilium Safety社製火災検知システム「CS5000 Fire Panel」の全バージョンに2つの重大な脆弱性が存在すると発表した。

脆弱性はCVE-2025-41438（CVSSスコア9.8）とCVE-2025-46352（CVSSスコア9.8）で、いずれもリモートから低い攻撃複雑度で悪用可能である。

CVE-2025-41438はデフォルトアカウントの問題（CWE-1188）、CVE-2025-46352はVNCサーバーのハードコードされたパスワードの問題（CWE-798）である。

英国Pen Test PartnersのAndrew Tierneyが発見し報告した。Consilium Safety社は全世界の商業施設、エネルギー、政府、医療、交通分野に製品を展開している。

同社は修正予定がないと表明し、2024年7月1日以降製造の新製品への移行を推奨している。攻撃者は高レベルアクセスを取得し、火災パネルを機能不全状態にする可能性がある。

From: Critical Bugs Could Spark Takeover of Widely Used Fire Safety OT/ICS Platform

【編集部解説】

今回のConsilium Safety CS5000 Fire Panelの脆弱性問題は、単なるセキュリティホールの発見を超えて、産業制御システム（ICS）とOT（運用技術）セキュリティの根本的な課題を浮き彫りにしています。

技術的背景の深刻さ

CVE-2025-41438とCVE-2025-46352の両脆弱性は、いずれもCVSSスコア9.8という最高レベルの危険度を持ちます。特に注目すべきは、これらが「設計段階からの脆弱性」である点です。デフォルトアカウント（CWE-1188）やハードコードされたパスワード（CWE-798）は、開発時の利便性を優先した結果生まれる典型的なセキュリティ債務と言えるでしょう。

影響範囲の広がり

CISAの公式アドバイザリによると、CS5000は商業施設、エネルギー、政府サービス、医療・公衆衛生、輸送システムという重要インフラ全般に展開されています。火災検知システムという性質上、これらの機能停止は人命に直結する可能性があります。

メーカーの対応方針が示す業界の現実

興味深いのは、Consilium Safetyが既存製品の修正を行わず、新製品への移行を推奨している点です。これは産業機器業界でよく見られる「レガシーシステムの置き換え戦略」ですが、同時に既存ユーザーへの負担転嫁という側面も持ちます。

日本国内での情報共有体制

JVN（Japan Vulnerability Notes）が2025年5月30日11時30分に日本語版アドバイザリ（JVNVU#92585729）を公開し、JPCERT/CCも同日に情報を発信しました。これは国際的なOTセキュリティ協調体制の重要性を示しています。

長期的な技術進化への示唆

この事案は「セキュア・バイ・デザイン」原則の重要性を改めて証明しました。Consilium Safetyが2024年7月以降の新製品でこの原則を採用したことは、業界全体の設計思想転換の象徴と捉えることができるでしょう。

実務的な対応策の現実性

CISAが推奨する物理的セキュリティ強化やネットワーク分離は、理論的には有効ですが、実際の運用現場では追加コストと運用複雑性を伴います。特に中小企業にとって、これらの対策実装は技術的・経済的な負担となる可能性があります。

【用語解説】

OT（Operational Technology）
工場やプラント、ビルなどの制御機器を制御し運用するシステムやその技術を指す。情報を取り扱うIT（Information Technology）に対して、物理的な機器や設備を制御する技術領域である。

ICS（Industrial Control Systems）
産業用制御システムの総称。製造業、エネルギー、水道、交通などの重要インフラで使用される制御システムを指す。

CVSS（Common Vulnerability Scoring System）
脆弱性の深刻度を数値化する標準的な評価システム。0.0から10.0までのスコアで表され、9.0以上がクリティカル（最重要）レベルとされる。

CWE-1188（リソースの安全ではない値への初期化）
システムやアプリケーションが、セキュリティに配慮されていないデフォルト値でリソースを初期化する脆弱性パターン。

CWE-798（ハードコードされた認証情報の使用）
ソースコードやバイナリファイルに認証情報が直接埋め込まれている脆弱性パターン。

VNC（Virtual Network Computing）
ネットワーク経由でリモートコンピュータのデスクトップを操作できるシステム。画面共有とリモート制御が可能である。

SSH（Secure Shell）
ネットワーク経由で他のコンピュータにログインし、リモートでコマンドを実行するためのプロトコル。暗号化通信により安全性を確保する。

【参考リンク】

Consilium Safety（外部）
スウェーデンに本社を置く火災・ガス検知システムメーカー。1912年創業で29カ国55拠点を展開している。

CISA（米国サイバーセキュリティ・インフラストラクチャセキュリティ庁）（外部）
米国国土安全保障省の一部門として、国家の重要インフラのサイバーセキュリティを担当する政府機関。

JVN（Japan Vulnerability Notes）（外部）
日本のセキュリティ脆弱性情報データベース。JPCERT/CCとIPAが共同で運営している。

Pen Test Partners（外部）
英国のサイバーセキュリティ企業。産業制御システムやIoTデバイスのセキュリティテストを専門とする。

JPCERT/CC（JPCERTコーディネーションセンター）（外部）
日本のコンピュータセキュリティインシデント対応チーム。セキュリティインシデントの調整や脆弱性情報の発信を行う。

ｑ【参考動画】

【参考記事】

Following CISA’s Guidance to Improve ICS Security | Verve Industrial
https://www.youtube.com/watch?v=fYnpWYeVebE
産業制御システムのセキュリティ向上に関するCISAのガイダンスについて解説した動画。OTサイバーセキュリティの基本原則と実装方法を説明している5。

【参考記事】

Security Online – CISA Alert: Critical Flaws in Consilium Safety CS5000 Fire Panel（外部）
CISAアラートの詳細解説と技術的背景を提供。Consilium Safetyが修正予定がないことの影響について分析している。

Cybersecurity News – CISA Warns of Consilium Fire Panel Vulnerabilities（外部）
脆弱性の技術的詳細と影響範囲を表形式で整理。Andrew Tierneyによる発見から開示までの経緯を詳述している。

Pen Test Partners – Fire detection system been pwned?（外部）
脆弱性発見者による第一次情報。2020年の発見から2025年の公開まで5年間の開示プロセスの詳細を記録している。

【編集部後記】

皆さんの職場や生活環境には、どのような産業制御システムが使われているでしょうか。今回のConsilium Safety事案は、私たちが普段意識しない「見えないセキュリティリスク」の存在を浮き彫りにしました。

火災検知システムから製造ラインまで、OT機器は身近な場所に数多く存在しています。もしよろしければ、皆さんの周りにあるこうした制御システムについて、一度セキュリティの観点から見直してみませんか。どのような対策が現実的で効果的なのか、ぜひご意見をお聞かせください。

サイバーセキュリティニュースをinnovaTopiaでもっと読む