セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-12298】オムロンのNB-Designer Ver.1.63にXXE脆弱性、機密データ漏洩のリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• NB-DesignerにXXE脆弱性が発見
• Ver.1.63以下の全バージョンに影響あり
• CVSSスコアは5.5でMEDIUMレベル

NB-Designer Ver.1.63のXXE脆弱性問題

オムロン株式会社は2025年1月14日、プログラマブル端末用ソフトウェアNB-DesignerにおいてXML外部エンティティ参照の制限が不適切な脆弱性【CVE-2024-12298】を発見したと発表した。この脆弱性は、攻撃者によってコンピュータ上の機密データが漏洩する可能性があることが判明している。^[1]

脆弱性の影響を受けるバージョンはNB-Designer Ver.1.63以下のすべてのバージョンとなっており、CWEによる脆弱性タイプは不適切なXML外部エンティティ参照の制限（CWE-611）に分類されている。NVDによる評価では、CVSSスコアが5.5（MEDIUM）となっており、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

また、この脆弱性は攻撃に特権レベルが必要とされるものの、ユーザーの関与は不要とされており、影響の範囲は機密性への影響が高いと評価されている。オムロンはすでにセキュリティアドバイザリを公開しており、ユーザーに対して注意を呼びかけている。

NB-Designer Ver.1.63の脆弱性情報まとめ

XML外部エンティティ参照について

XML外部エンティティ参照とは、XMLドキュメント内で外部リソースを参照するための機能であり、主な特徴として以下のような点が挙げられる。

• 外部ファイルやURLからデータを読み込むことが可能
• DTD（Document Type Definition）で定義された外部エンティティを利用
• システムリソースへのアクセスが可能になる場合がある

NB-Designer Ver.1.63以下のバージョンでは、XML外部エンティティ参照の制限が適切に実装されていないことが判明している。この問題により、攻撃者がXML外部エンティティ参照を悪用してコンピュータ上の機密データにアクセスし、情報漏洩を引き起こす可能性があることが指摘されている。

NB-Designer Ver.1.63の脆弱性に関する考察

NB-Designer Ver.1.63の脆弱性は、産業用プログラマブル端末のソフトウェアにおける重要な課題を浮き彫りにしている。産業用制御システムでは機密情報の保護が極めて重要であり、XML外部エンティティ参照の脆弱性は情報漏洩のリスクを高める要因となっているのだ。

今後は、XMLパーサーのセキュリティ設定の強化やXML外部エンティティ参照の制限機能の実装が必要不可欠となるだろう。特に産業用ソフトウェアでは、外部からのデータ入力に対する厳格な検証メカニズムの導入や、定期的なセキュリティ監査の実施が重要な課題となっている。

また、製造業のデジタル化が進む中、セキュリティ対策の重要性はますます高まることが予想される。NB-Designerには今後、脆弱性対策だけでなく、ユーザーが安全に利用できるセキュリティガイドラインの提供や、脆弱性を早期に発見できる診断ツールの実装が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-12298 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-12298, (参照 25-01-16).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧