セキュリティ

SECURITY

公開：2025-03-01

【CVE-2025-0631】PowerFlex 755に認証情報漏洩の脆弱性、HTTPの平文送信によるセキュリティリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• PowerFlex 755でHTTPによる認証情報の漏洩リスク
• CVSSスコア8.7の高リスク脆弱性として評価
• バージョン16.002.279以前が影響を受ける

PowerFlex 755の認証情報漏洩脆弱性が発覚

Rockwell Automationは2025年1月28日、同社のPowerFlex 755においてHTTP通信時に認証情報が平文で送信される脆弱性を公開した。この脆弱性は【CVE-2025-0631】として識別されており、CVSSv4.0で8.7点の高リスクと評価されている。^[1]

この脆弱性は認証情報の漏洩に関するもので、CWE-319（機密情報の平文送信）に分類されている。攻撃者は特別な権限や利用者の操作を必要とせずにネットワーク経由で攻撃可能であり、認証情報の漏洩による深刻な影響が懸念されている。

影響を受けるバージョンは16.002.279以前のPowerFlex 755となっており、Rockwell Automationは詳細な情報をセキュリティアドバイザリとして公開している。この脆弱性は自動化された攻撃が可能であり、システムへの部分的な影響が予想されている。

PowerFlex 755の脆弱性概要

セキュリティアドバイザリの詳細はこちら

機密情報の平文送信について

機密情報の平文送信とは、パスワードなどの重要な情報を暗号化せずにネットワーク上で送信することを指す。主な特徴として、以下のような点が挙げられる。

• 通信内容が第三者に傍受される可能性が高い
• ネットワーク上での情報漏洩リスクが増大
• 中間者攻撃の標的となりやすい

暗号化されていない通信では、パケットキャプチャツールを使用することで容易に通信内容を読み取ることが可能となる。特に産業用制御システムにおいて認証情報が漏洩した場合、システムへの不正アクセスや重要な設備の制御権限の奪取につながる可能性があるため、早急な対策が必要とされている。

PowerFlex 755の脆弱性に関する考察

産業用制御システムにおける認証情報の平文送信は、システム全体のセキュリティを脅かす重大な問題となっている。特にPowerFlex 755は製造現場で広く使用されており、この脆弱性を悪用された場合、生産ラインの停止や設備の誤動作など、深刻な影響が及ぶ可能性が高い。

今後は同様の脆弱性を防ぐため、通信の暗号化やセキュアなプロトコルへの移行が重要となるだろう。特にレガシーシステムの更新や、セキュリティパッチの適用については、運用への影響を考慮しながら計画的に進める必要がある。また、定期的なセキュリティ監査や通信の暗号化状況の確認など、予防的な対策も重要となってくる。

産業用制御システムのセキュリティ強化は、今後ますます重要性を増すものと考えられる。特にIndustry 4.0やスマートファクトリーの普及に伴い、制御システムのネットワーク接続が増加する中、認証や暗号化などの基本的なセキュリティ対策の徹底が求められている。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-0631, (参照 25-03-01).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧