Kieback&Peter製DDC4000シリーズに複数の脆弱性、ビルディングオートメーションシステムのセキュリティに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
Kieback&Peter製DDC4000シリーズの複数の脆弱性発見
DDC4000シリーズの脆弱性まとめ
パストラバーサルについて
Kieback&Peter製DDC4000シリーズの脆弱性に関する考察
参考サイト

記事の要約

Kieback&Peter製DDC4000シリーズに複数の脆弱性
パストラバーサル、認証情報保護不足など3つの脆弱性
一部製品はサポート終了、他はアップデート提供

Kieback&Peter製DDC4000シリーズの複数の脆弱性発見

Kieback&Peter社が提供するDDC4000シリーズに、複数の重大な脆弱性が発見された。Japan Vulnerability Notesが2024年10月18日に公開した情報によると、この脆弱性はパストラバーサル（CVE-2024-41717）、認証情報の不十分な保護（CVE-2024-43812）、脆弱な認証情報の使用（CVE-2024-43698）の3種類に分類される。これらの脆弱性は、DDC4002やDDC4100を含む複数のバージョンに影響を及ぼすことが判明している。^[1]

脆弱性を悪用された場合、攻撃者はシステム上のファイルを不正に取得したり、/etc/passwdファイルにアクセスしてユーザーのパスワードハッシュを入手したりする可能性がある。さらに深刻なケースでは、システム上の管理者権限を不正に取得される恐れもある。これらの脆弱性は、ビルディングオートメーションシステムの安全性に重大な影響を与える可能性があり、早急な対応が求められている。

Kieback&Peter社は、一部の製品についてはすでにサポートが終了しているため、厳密に分離されたOT環境で動作していることを確認し、サポートされている製品へのアップデートを推奨している。DDC4002e、DDC4200e、DDC4400e、DDC4020e、DDC4040eなどの製品に対しては、アップデートを提供しており、ユーザーは最寄りのKieback&Peter社のオフィスに問い合わせて詳細を確認することが推奨される。

DDC4000シリーズの脆弱性まとめ

脆弱性の種類	CVE番号	影響
パストラバーサル	CVE-2024-41717	システム上のファイル取得
認証情報の不十分な保護	CVE-2024-43812	パスワードハッシュの取得
脆弱な認証情報の使用	CVE-2024-43698	管理者権限の不正取得

パストラバーサルについて

パストラバーサルとは、Webアプリケーションの脆弱性の一種であり、攻撃者がファイルパスを操作して本来アクセスできないはずのファイルやディレクトリにアクセスする攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

ファイルシステムの制限を迂回して機密情報にアクセス可能
相対パスや特殊文字を使用してディレクトリを遡る
Webアプリケーションの設定ファイルやシステムファイルが露出する危険性

DDC4000シリーズにおけるパストラバーサルの脆弱性（CVE-2024-41717）は、攻撃者がシステム上の任意のファイルを不正に取得できる可能性を示している。この脆弱性を悪用されると、重要なシステム設定ファイルやユーザーデータが漏洩する恐れがあり、ビルディングオートメーションシステム全体のセキュリティを著しく低下させる可能性がある。

Kieback&Peter製DDC4000シリーズの脆弱性に関する考察

Kieback&Peter製DDC4000シリーズに発見された複数の脆弱性は、ビルディングオートメーションシステムのセキュリティに関する重要な問題を浮き彫りにしている。これらの脆弱性が悪用された場合、建物の制御システムが不正にアクセスされ、エネルギー管理や空調制御などの重要な機能が攻撃者の手に落ちる可能性がある。特に、管理者権限の不正取得を可能にする脆弱性は、システム全体の制御権限が奪取される危険性を孕んでおり、早急な対策が必要不可欠だ。

今後、ビルディングオートメーションシステムのセキュリティ強化が急務となることは間違いない。製造業者は、製品のライフサイクル全体を通じてセキュリティアップデートを提供し続けることが求められるだろう。一方、ユーザー側も定期的なファームウェアの更新やネットワークの分離など、適切なセキュリティ対策を講じる必要がある。また、業界全体としてセキュリティ基準の策定や脆弱性情報の共有体制の構築が望まれる。

Kieback&Peter社の対応として、一部製品のサポート終了と新製品へのアップデート推奨は適切な措置だが、既存システムの移行には時間とコストがかかる。そのため、移行期間中のリスク軽減策として、影響を受ける製品の一時的な隔離やモニタリング強化などの暫定措置も検討すべきだろう。今回の事例を教訓に、IoT機器やビルディングオートメーションシステムのセキュリティ設計をより強固なものにしていくことが、業界全体の課題となるはずだ。