セキュリティ

SECURITY

公開：2024-07-07

三菱電機のGENESIS64とMC Works64に複数の脆弱性、産業用制御システムのセキュリティに警鐘

text: XEXEQ編集部

記事の要約

• 三菱電機製品に複数の脆弱性が発見
• CVE-2023-2650など5つの脆弱性が報告
• アップデートやワークアラウンドによる対策が必要

GENESIS64とMC Works64の脆弱性詳細

三菱電機が提供するGENESIS64およびMC Works64において、5つの重大な脆弱性が発見された。これらの脆弱性は、システムのセキュリティを著しく低下させる可能性があり、早急な対応が求められている。特にCVE-2024-1182は全バージョンに影響を与えるため、ユーザーの注意が必要だ。^[1]

脆弱性の内容は多岐にわたり、リソース割り当ての問題からデジタル署名の不適切な検証まで含まれている。最も深刻なものはCVE-2024-1182で、CVSSスコアが7.0と高く、悪用されれば重大な被害をもたらす可能性がある。製品の広範な使用を考えると、産業界全体に大きな影響を与える恐れがある。

CVSSスコアとは

CVSSスコアとは、Common Vulnerability Scoring Systemの略で、情報セキュリティの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として、以下のような点が挙げられる。

• 0から10までの数値で表現される
• 数値が高いほど脆弱性の深刻度が高い
• 攻撃の難易度や影響範囲などを考慮して算出
• セキュリティ対策の優先順位付けに活用される
• 国際的に広く認知されている指標

CVSSスコアは脆弱性の客観的な評価を可能にし、セキュリティ対策の効率化に貢献している。企業や組織はこのスコアを参考に、リソースを適切に配分し、最も重要な脆弱性から対処することができる。しかし、スコアだけでなく、個々の環境や状況も考慮に入れる必要がある。

産業用制御システムのセキュリティに関する考察

GENESIS64やMC Works64のような産業用制御システムの脆弱性は、単なるデータ漏洩以上の深刻な結果をもたらす可能性がある。これらのシステムは重要インフラの制御に使用されることが多く、攻撃者に悪用された場合、物理的な被害や人命に関わる事故につながる恐れがある。今後は、AIを活用した異常検知やリアルタイムの脆弱性スキャンなど、より高度なセキュリティ対策の導入が求められるだろう。

一方で、産業用制御システムの更新は容易ではなく、長期間使用されることが多い。そのため、今回のような脆弱性が発見された際の迅速な対応が課題となる。今後は、システムの設計段階からセキュリティを考慮したセキュアバイデザインの approach や、遠隔でのセキュリティアップデートを可能にする仕組みの構築が期待される。これにより、脆弱性のリスクを最小限に抑えつつ、システムの安定稼働を維持できるようになるだろう。

さらに、この事例は産業用制御システムのサプライチェーンセキュリティの重要性を再認識させるものである。三菱電機の製品だけでなく、それらと連携する他のシステムや、組み込まれているサードパーティのコンポーネントまで含めた包括的なセキュリティ対策が必要となる。今後は、業界全体でのセキュリティ基準の統一や、脆弱性情報の共有体制の強化など、より広範な取り組みが求められるだろう。

参考サイト

1. ^ JVN. 「JVNVU#98894016: 三菱電機製GENESIS64およびMC Works64における複数の脆弱性」. https://jvn.jp/vu/JVNVU98894016/index.html, (参照 24-07-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧