Metasys SCTに脆弱性が発見(CVE-2021-36203)、サーバサイドリクエストフォージェリの問題が発覚

text: XEXEQ編集部

Metasys SCTの脆弱性に関する記事の要約
Johnson Controls製Metasysの脆弱性発見
Metasysシステムとは？
Metasysの脆弱性対策に関する考察
参考サイト

Metasys SCTの脆弱性に関する記事の要約

Johnson Controls製Metasys SCTに脆弱性
サーバサイドリクエストフォージェリの問題
CVSS v3基本値5.3の警告レベル
パッチ14.2.2で対策可能

Johnson Controls製Metasysの脆弱性発見

Johnson Controls社が提供するビルディングオートメーションシステムMetasysのエンジニアリングツールに重大な脆弱性が発見された。この脆弱性はSystem Configuration Tool（SCT）及びSystem Configuration Tool Pro（SCT Pro）に存在するサーバサイドリクエストフォージェリ（SSRF）の問題として特定されており、CVE-2021-36203として報告されている。^[1]

CVSS（Common Vulnerability Scoring System）v3による評価では、この脆弱性の基本値は5.3と算出され、警告レベルに分類されている。攻撃元区分はネットワークとされ、攻撃条件の複雑さは低いと判断された。特権レベルや利用者の関与は不要とされており、潜在的な攻撃者にとって比較的容易に悪用できる可能性が示唆されている。

この脆弱性が悪用された場合、遠隔の第三者によって内部システムに特定のファイルまたはパスが存在するかどうかを判断される可能性がある。このような情報漏洩は攻撃者による更なる侵入や悪意ある活動の足がかりとなる恐れがある。特にビルディングオートメーションシステムが標的となることで、物理的なセキュリティにも影響を及ぼす可能性があり、その影響は広範囲に及ぶ可能性があるだろう。

Metasysシステムとは？

Metasysは大規模な商業施設やオフィスビル、工場、学校など、さまざまな建築物の設備を統合的に管理・制御するために設計されている。具体的には、空調、照明、セキュリティ、エネルギー管理などの機能を一元的に操作・監視することが可能で、建物全体の効率性と快適性を向上させる役割を担っている。

Metasysの中核を成すのが、System Configuration Tool（SCT）およびSystem Configuration Tool Pro（SCT Pro）と呼ばれるエンジニアリングツールだ。これらのツールはシステム管理者やエンジニアがMetasysの設定を行い、各種デバイスやセンサーの統合、制御ロジックのプログラミング、ユーザーインターフェースのカスタマイズなどを実施するために使用される。高度な機能を有するこれらのツールは、ビルディングオートメーションシステムの中枢を担う重要なコンポーネントとして位置付けられている。

Metasysシステムの特徴として、スケーラビリティの高さが挙げられる。小規模な建物から大規模な複合施設まで、さまざまな規模や用途の建築物に対応可能な設計となっている。また、オープンプロトコルを採用しており、他社製品との互換性や連携も考慮されている。このような柔軟性と拡張性により、Metasysは世界中の多くの施設で採用され、ビルディングオートメーション業界における主要なソリューションの一つとして認知されている。

Metasysの脆弱性対策に関する考察

Johnson Controls社が提供するMetasysの脆弱性対策は、ビルディングオートメーションシステムのセキュリティ全体に大きな影響を与える可能性がある。今後も同様の脆弱性が他のシステムで発見される可能性が否定できず、業界全体でセキュリティ意識の向上と対策の強化が求められるだろう。特にIoTデバイスの普及に伴い、物理的な制御システムとサイバーセキュリティの融合がより一層重要になると予想される。

今後Metasysには単なるパッチ適用だけでなく、より包括的なセキュリティ機能の実装が期待される。例えば、異常検知機能の強化や多要素認証の導入、暗号化通信の標準化などが考えられる。また、ユーザー企業向けのセキュリティトレーニングプログラムの提供や定期的な脆弱性診断サービスの実施など、ソフトウェア以外の面でのサポート拡充も重要になるだろう。

このような複雑な制御システムの開発において、セキュリティバイデザインの原則をより徹底的に適用する必要性が浮き彫りになった。特に外部からのリクエスト処理やネットワーク境界の管理など、基本的なセキュリティ設計の重要性が再認識される。また、継続的なコード審査やペネトレーションテストの実施、セキュリティ専門家との協業など、開発プロセス全体を通じたセキュリティ強化の取り組みが不可欠となるだろう。

参考サイト

^ JVN. 「JVNDB-2022-001580 - JVN iPedia - _x0090_Æ_x008e_ã_x0090_«_x0091_Î_x008d_ô_x008f_î_x0095_ñ_x0083_f_x0081_[_x0083_^_x0083_x_x0081_[_x0083_X」. https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-001580.html, (参照 24-06-27).
Meta. https://about.meta.com/ja/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。