セキュリティ

SECURITY

公開：2025-03-07

【CVE-2025-22896】mySCADA myPRO Managerに重大な脆弱性、認証情報の平文保存でセキュリティリスクが深刻化

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• mySCADA myPRO Managerにクレデンシャル情報の平文保存の脆弱性
• CVE-2025-22896として識別される重大な脆弱性
• バージョン1.4未満が影響を受ける深刻な問題

mySCADA myPRO Managerの重大な脆弱性発見

2025年2月13日、ICS-CERTはmySCADA社のmyPRO Managerに認証情報が平文で保存される重大な脆弱性を発見したと発表した。この脆弱性はCVE-2025-22896として識別され、攻撃者が機密情報を取得できる可能性があることが明らかになっている。^[1]

この脆弱性のCVSS3.1スコアは8.6でHighレベル、CVSS4.0スコアは9.2でCriticalレベルと評価されており、攻撃の成功には特別な権限や条件が不要であることが判明した。攻撃者がネットワークを介してアクセスできる状況では、ユーザーの介在なしに機密情報が漏洩する危険性が指摘されている。

影響を受けるバージョンは1.4未満のmySCADA myPRO Managerで、この脆弱性はMichael Heinzl氏によってCISAに報告された。CISAは直ちにセキュリティアドバイザリを発行し、影響を受けるユーザーに対して適切な対策を講じるよう警告を発している。

mySCADA myPRO Manager脆弱性の詳細

クレデンシャル情報の平文保存について

クレデンシャル情報の平文保存とは、パスワードなどの認証情報を暗号化せずにそのまま保存することを指す。主な問題点として、以下のような点が挙げられる。

• 認証情報が直接読み取り可能な状態で保存される
• データベースやファイルが漏洩した場合に即座に悪用される危険性
• 内部関係者による不正アクセスのリスクが高まる

mySCADA myPRO Managerの事例では、クレデンシャル情報が平文で保存されることにより、攻撃者が容易に認証情報を取得できる状態になっていた。このような実装は現代のセキュリティ基準では重大な問題とされ、暗号化やハッシュ化による保護が必須とされている。

myPRO Managerの脆弱性に関する考察

産業用制御システムにおいて認証情報の平文保存が発見されたことは、重大なセキュリティリスクを示している。制御システムは重要インフラの一部として機能することが多く、認証情報の漏洩は施設全体のセキュリティを脅かす可能性があるため、早急な対応が必要となるだろう。

この問題の解決には、強力な暗号化アルゴリズムの実装とセキュアな鍵管理システムの導入が不可欠となる。同時に、定期的なセキュリティ監査やペネトレーションテストの実施により、同様の脆弱性を事前に発見できる体制を整えることも重要だ。

今後は、産業用制御システム全体におけるセキュリティ基準の見直しと強化が求められる。特に認証情報の保護に関しては、業界全体で統一された厳格なガイドラインの策定と、それに基づく実装の標準化が期待される。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-22896, (参照 25-03-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧