セキュリティ

SECURITY

公開：2024-09-01

【CVE-2024-41927】IDECのPLCに複数の脆弱性、認証情報漏洩や通信妨害のリスクあり最新版へのアップデートを推奨

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• IDECのPLCに複数の脆弱性が発見
• 認証情報取得やパケット妨害のリスク
• 最新バージョンへのアップデートが対策

IDECのPLCに発見された複数の脆弱性とその影響

IDEC株式会社は2024年8月30日、同社が提供するPLC（Programmable Logic Controller）に複数の脆弱性が存在することを公表した。この脆弱性は、FC6A形やFC6B形のMICROSmart All-in-One CPUモジュール、MICROSmart Plus CPUモジュール、そしてFT1A形コントローラ SmartAXIS Pro/Liteの特定バージョンに影響を及ぼすものである。^[1]

発見された脆弱性は主に2つあり、1つは重要な情報の平文送信（CVE-2024-41927）、もう1つは予測可能なIDの使用（CVE-2024-28957）である。これらの脆弱性により、攻撃者がPLCのシリアル通信ポートから特定のコマンドを送信することで、ユーザの認証情報を取得し、PLCのプログラムを不正に操作する可能性がある。

IDECは、これらの脆弱性に対処するため、影響を受ける製品の最新バージョンをリリースしている。ユーザーは、FC6A形MICROSmart All-in-One CPUモジュールVer.2.70、FC6B形MICROSmart All-in-One CPUモジュールVer.2.70など、各製品の最新バージョンへのアップデートを推奨している。この対策により、PLCのセキュリティが強化され、不正アクセスのリスクが軽減されることが期待される。

IDECのPLC脆弱性の影響と対策まとめ

PLCについて

PLCとは、Programmable Logic Controllerの略称で、工場の生産ラインや機械制御などの自動化システムで使用されるコンピュータ制御の電子装置のことを指す。主な特徴として以下のような点が挙げられる。

• プログラム可能な論理回路を使用した制御装置
• 産業用途に特化した堅牢な設計
• リアルタイム制御が可能な高速処理能力

PLCは、製造業や工業プロセスの自動化において中心的な役割を果たしており、その信頼性とセキュリティは極めて重要である。今回のIDEC製PLCの脆弱性は、シリアル通信ポートを介した攻撃や通信パケットの予測可能性に関連しており、産業用制御システムのセキュリティ対策の重要性を再認識させる事例となっている。

IDECのPLC脆弱性に関する考察

IDECが迅速に脆弱性を公表し、対策版をリリースしたことは評価に値する。産業用制御システムのセキュリティは、生産性だけでなく安全性にも直結するため、メーカーの迅速な対応は重要である。一方で、今回の脆弱性が発見されたことで、PLCの設計段階からのセキュリティ対策の必要性が改めて浮き彫りになったと言えるだろう。

今後の課題として、PLCのファームウェアアップデートの容易化が挙げられる。産業現場では24時間稼働が求められることも多く、アップデートによるダウンタイムを最小限に抑える仕組みが必要だ。また、脆弱性が発見された際の影響範囲を最小限に抑えるため、PLCのネットワークセグメンテーションやアクセス制御の強化も検討すべきである。

将来的には、PLCにAIを活用した異常検知システムを組み込むことで、不正アクセスや異常な動作をリアルタイムで検出し、自動的に対処できるようになることが期待される。また、ブロックチェーン技術を用いたファームウェアの改ざん防止や、量子暗号通信によるセキュアな通信の実現など、最新技術の導入によりPLCのセキュリティがさらに強化されることを期待したい。

参考サイト

1. ^ JVN. 「JVNVU#96959731: IDEC製PLCにおける複数の脆弱性」. https://jvn.jp/vu/JVNVU96959731/index.html, (参照 24-09-01).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧