【CVE-2024-37990】シーメンス製品に複数の脆弱性、SIMATIC RFシリーズなど広範囲に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

シーメンス製品に複数の脆弱性が発見
CVSS基本値6.5の警告レベルの脆弱性
影響を受ける製品のファームウェア更新が必要

シーメンス製品における複数の脆弱性の発見

シーメンス社は、SIMATIC RF360Rファームウェアやsimatic rf1170rファームウェアなど複数の製品に不特定の脆弱性が存在することを公表した。この脆弱性はCVSS v3による深刻度基本値が6.5と警告レベルに分類され、攻撃元区分はネットワークであることが明らかになっている。攻撃条件の複雑さは低く、攻撃に必要な特権レベルは高いとされている。^[1]

影響を受けるシステムには、SIMATIC RF360Rファームウェア2.2未満、simatic rf1170rファームウェア1.1未満、simatic rf1140rファームウェア1.1未満などが含まれる。また、SIMATIC reader rf610r etsiファームウェア4.2未満、SIMATIC reader rf615r cmiitファームウェア4.2未満なども影響を受ける製品として挙げられている。この脆弱性により、情報の改ざんやサービス運用妨害（DoS）状態に陥る可能性がある。

シーメンス社は、この脆弱性に対する対策として、ベンダアドバイザリまたはパッチ情報を公開している。ユーザーは参考情報を確認し、適切な対策を実施することが推奨される。この脆弱性はCVE-2024-37990として識別されており、CWEによる脆弱性タイプは非公開の機能（CWE-912）およびその他（CWE-Other）に分類されている。

シーメンス製品の脆弱性影響まとめ

製品名	影響を受けるバージョン	脆弱性の種類
SIMATIC RF360R	ファームウェア2.2未満	非公開の機能(CWE-912)
simatic rf1170r	ファームウェア1.1未満	その他(CWE-Other)
simatic rf1140r	ファームウェア1.1未満	その他(CWE-Other)
SIMATIC reader rf610r etsi	ファームウェア4.2未満	非公開の機能(CWE-912)
SIMATIC reader rf615r cmiit	ファームウェア4.2未満	その他(CWE-Other)

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として以下のような点が挙げられる。

0.0から10.0までの数値で脆弱性の深刻度を表現
攻撃の容易さや影響度などの要素を考慮して算出
ベーススコア、時間的スコア、環境的スコアの3つの指標で構成

今回のシーメンス製品の脆弱性では、CVSS v3による深刻度基本値が6.5と評価されている。この数値は「警告」レベルに分類され、攻撃元区分がネットワークであることや、攻撃条件の複雑さが低いことなどが考慮されている。CVSSスコアは脆弱性の優先度を決定する上で重要な指標となり、セキュリティ対策の立案に活用されている。

シーメンス製品の脆弱性に関する考察

シーメンス製品における今回の脆弱性の発見は、産業用制御システムのセキュリティ強化の重要性を改めて浮き彫りにした。特にSIMATIC RFシリーズのような広く使用されている製品に影響があることから、多くの企業や組織がリスクにさらされている可能性がある。一方で、シーメンス社が迅速に脆弱性情報を公開し、対策を提供したことは評価できるポイントだろう。

今後、このような脆弱性が悪用された場合、産業システムの運用に深刻な影響を及ぼす可能性がある。情報の改ざんやサービス運用妨害（DoS）状態は、生産ラインの停止や重要なデータの損失につながる恐れがある。これらの問題に対する解決策として、定期的なセキュリティ監査の実施や、脆弱性情報の常時モニタリング体制の構築が考えられる。

産業用制御システムのセキュリティ強化は、今後ますます重要性を増すだろう。シーメンス社には、製品のセキュリティ機能の強化や、より迅速なパッチ提供体制の確立が期待される。同時に、ユーザー企業側も、セキュリティ意識の向上や、迅速なアップデート適用の体制づくりが求められる。産業セキュリティの分野で、ベンダーとユーザーの協力関係がさらに深まることを期待したい。