【CVE-2025-1863】横河電機のレコーダー製品に認証機能の設定不備、重要データの不正操作リスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

IT・テックのコネクトメディア「ゼゼック」
カテゴリ毎のアーカイブ記事一覧
【カテゴリ別】2025年04月のアーカイブ一覧
【2025年04月】セキュリティに関するアーカイブ一覧
【2025年04月18日】セキュリティに関するアーカイブ一覧
【CVE-2025-1863】横河電機のレコーダー製品に認証機能の設定不備、重要データの不正操作リスクが発生

記事の要約

横河電機のレコーダー製品に認証機能の設定不備
デフォルト設定で認証機能が無効化されている問題を確認
重要データの不正操作やアクセスのリスクが発生

横河電機のレコーダー製品における認証機能の設定不備

横河電機は2025年4月18日、同社が提供するレコーダー製品において、認証機能のデフォルト設定が無効化されている脆弱性を公開した。この問題は【CVE-2025-1863】として識別されており、デフォルト設定のままネットワークに接続した場合、設定や操作に関するすべての機能に誰でもアクセスできる状態になることが判明している。^[1]

影響を受ける製品は、GX10/GX20/GP10/GP20ペーパレスレコーダー R5.04.01以前、GMデータ収集システム R5.05.01以前、DX1000/DX2000/DX1000Nペーパレスレコーダー R4.21以前、FX1000ペーパレスレコーダー R1.31以前など多岐にわたっている。この脆弱性により、攻撃者が測定値や設定などの重要データを不正に操作・設定できる可能性が指摘されている。

この脆弱性の深刻度はCVSS v3.1で9.8（CRIT ICAL）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低く、特権レベルは不要とされている。μR10000/μR20000チャートレコーダー R1.51以前、MW100データ収集ユニット全バージョン、DX1000T/DX2000Tペーパレスレコーダー全バージョン、CX1000/CX2000ペーパレスレコーダー全バージョンも影響を受けることが確認された。

影響を受ける製品とバージョン一覧

製品名	影響を受けるバージョン
GX10/GX20/GP10/GP20	R5.04.01以前
GMデータ収集システム	R5.05.01以前
DX1000/DX2000/DX1000N	R4.21以前
FX1000	R1.31以前
μR10000/μR20000	R1.51以前
MW100	全バージョン
DX1000T/DX2000T	全バージョン
CX1000/CX2000	全バージョン

詳細情報はこちら

デフォルト設定について

デフォルト設定とは、製品やシステムが初期状態で持っている設定値のことを指す。主な特徴として以下のような点が挙げられる。

製品やシステムの初回起動時に適用される基本的な設定値
ユーザーが明示的に変更しない限り維持される設定内容
システムの基本的な動作や安全性に影響を与える重要な要素

今回の脆弱性では、横河電機のレコーダー製品において認証機能のデフォルト設定が無効化されていることが問題となっている。この設定により、製品がネットワークに接続された際にセキュリティ上の重大なリスクが発生する可能性があるため、早急な対応が必要とされている。

横河電機のレコーダー製品の認証機能不備に関する考察

認証機能のデフォルト設定が無効化されている問題は、産業用機器のセキュリティ設計における重要な課題を浮き彫りにしている。特に測定値や設定などの重要データを扱うレコーダー製品において、適切な認証機能の実装は情報セキュリティの基本であり、デフォルトで無効化されている状態は深刻なリスクをもたらす可能性がある。

今後は製品設計段階からセキュリティ・バイ・デザインの考え方を取り入れ、デフォルト設定の安全性を確保することが重要となるだろう。特に産業用機器は長期運用されることが多く、脆弱性が発見された際の影響範囲が広大になる可能性があるため、初期設定の見直しと継続的なセキュリティアップデートの提供が必要不可欠である。

また、既存製品のユーザーに対しては、認証機能の有効化手順や安全な設定方法の周知徹底が求められる。産業用機器のセキュリティ意識向上と共に、製造業界全体でのセキュリティガイドラインの策定や、定期的なセキュリティ監査の実施が望まれる。