三菱電機製CPUユニットに複数の脆弱性、不正アクセスによる情報流出やマルウェア実行の恐れ

text: XEXEQ編集部

MELSEC-Q/LシリーズCPUユニットに関する記事の要約

三菱電機製MELSEC-Q/LシリーズCPUユニットに複数の脆弱性が存在
不正なポインタの増減や整数オーバーフローなどの脆弱性により情報流出やマルウェア実行の恐れ
ファイアウォール設定や後続製品への移行などのワークアラウンドを推奨

複数の脆弱性が見つかった三菱電機のCPUユニット、深刻な影響も

三菱電機のMELSEC-Q/LシリーズCPUユニットに、不正なポインタの増減や整数オーバーフローなど複数の脆弱性が発見された。これらの脆弱性を悪用された場合、遠隔の攻撃者によって細工されたパケットを受信することで、任意の情報が窃取されたり、マルウェアが実行されたりする可能性がある。^[1]

脆弱性の影響を受けるのは、MELSEC-QシリーズとMELSEC-Lシリーズの一部の機種で、比較的広範囲に及ぶ。CPUユニットはシーケンサの中核をなす重要なコンポーネントであり、脆弱性を突かれた場合の影響は甚大だ。

三菱電機ではこれらの脆弱性に対し、ファイアウォールによるアクセス制御やVPNの使用など、ネットワークレベルでの対策を推奨している。さらに脆弱性に対応した後続製品への移行も選択肢の一つとして提示されており、ユーザー側での速やかな対応が求められる。

MELSEC-Q/LシリーズCPUユニットの脆弱性に関する考察

制御システムの根幹に関わる脆弱性は、社会インフラの安全性を脅かしかねない重大な問題だ。IoTの普及により工場や重要施設の制御システムがネットワークに接続される中、セキュリティ対策の重要性は一層高まっている。今回の脆弱性情報の公開を機に、制御システムを扱うベンダー各社におけるセキュリティ設計の見直し、ユーザー企業でのリスク評価と対策の実施が望まれる。

一方、脆弱性対策としてワークアラウンドが示されているものの、実際の製造現場では容易に適用できないケースも少なくないだろう。制御システムの特性を踏まえた現実的な対策の提示、脆弱性修正版や後続製品の提供を通じたベンダー側のサポートが不可欠だ。ベンダーとユーザーが一体となり、制御システムのセキュリティ確保に取り組んでいくことが重要である。