ABB製品に深刻な脆弱性、CVSSスコア9.8で緊急対応が必要に

text: XEXEQ編集部

記事の要約

複数のABB製品に脆弱性が発見
CVSS v3による深刻度は9.8（緊急）
情報取得・改ざん、DoSの可能性
ベンダーによる対策情報が公開

ABB製品の脆弱性問題とその影響範囲

ABB社の製品群に深刻な脆弱性が発見され、セキュリティ専門家の間で大きな懸念が広がっている。この脆弱性は、aspect-ent-12、aspect-ent-2、aspect-ent-256を始めとする多数のファームウェアに影響を及ぼすことが判明した。その深刻度はCVSS v3評価で9.8という極めて高い数値を示しており、早急な対応が求められる事態となっている。^[1]

この脆弱性の影響範囲は広く、攻撃者による情報の不正取得や改ざん、さらにはサービス運用妨害（DoS）攻撃の可能性も指摘されている。特に産業用制御システムを扱うABB社の製品が標的となることで、重要インフラへの攻撃リスクが高まる可能性があるだろう。

製品名	影響を受けるバージョン	脆弱性の種類	CVSS v3スコア
aspect-ent-12	3.08.01以前	不特定	9.8
aspect-ent-2	3.08.01以前	不特定	9.8
aspect-ent-256	3.08.01以前	不特定	9.8
matrix-11	3.08.01以前	不特定	9.8
nexus-2128	3.08.01以前	不特定	9.8

CVSS v3とは

CVSS v3とは、Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を評価するための国際的な基準システムである。このシステムは脆弱性の特性を数値化し、0.0から10.0までのスコアで表現する。

攻撃の難易度や影響範囲を考慮
0.0（低）から10.0（極めて高）までのスコア
基本評価指標、現状評価指標、環境評価指標の3つの指標で構成
セキュリティ対策の優先順位付けに活用
業界標準として広く採用されている

CVSS v3では、攻撃元区分、攻撃条件の複雑さ、必要な特権レベルなどの要素が考慮される。今回のABB製品の脆弱性がスコア9.8と評価されたことは、その危険性が極めて高いことを示している。

ABB製品の脆弱性問題に関する考察

ABB製品の脆弱性問題は、産業用制御システムのセキュリティに対する新たな課題を浮き彫りにした。今後、同様の脆弱性が他の産業用システムでも発見される可能性があり、業界全体でのセキュリティ強化が急務となるだろう。特に、重要インフラを支える制御システムのセキュリティ対策は、国家レベルでの取り組みが必要になると予想される。

この問題を契機に、産業用制御システムにおけるセキュリティ機能の強化が進むことが期待される。具体的には、リアルタイムの脆弱性検知システムや、AIを活用した異常検知機能の実装が考えられる。さらに、製品開発段階からセキュリティを考慮したセキュア・バイ・デザインの概念が、より一層重要視されるようになるだろう。

この脆弱性問題は、ABB製品を使用している企業や組織に大きな影響を与える。特に、重要インフラを管理する組織にとっては、サイバー攻撃のリスクが高まることで、国民生活への影響も懸念される。一方で、セキュリティ企業にとっては、新たなビジネスチャンスとなる可能性もあるだろう。