三菱電機製FAエンジニアリングソフトウェアに複数の脆弱性、Jungo社製WinDriverに起因

text: XEXEQ編集部

FAエンジニアリングソフトウェア製品における脆弱性に関する記事の要約
Jungo社製WinDriverに深刻な脆弱性、大規模なサイバー攻撃に悪用の恐れ
WinDriverの脆弱性対策に遅れ、三菱電機製品に甚大な影響も
脆弱性対策に関する考察
参考サイト

FAエンジニアリングソフトウェア製品における脆弱性に関する記事の要約

三菱電機製FAエンジニアリングソフトウェア製品に複数の脆弱性
Jungo社製WinDriverに起因する脆弱性により深刻な影響の可能性
不適切な権限管理やリソース枯渇、境界外書き込みなどの脆弱性が存在
影響を受ける製品は広範囲に及び詳細は開発者の情報を確認する必要がある

Jungo社製WinDriverに深刻な脆弱性、大規模なサイバー攻撃に悪用の恐れ

2024年5月14日、三菱電機が提供する複数のFAエンジニアリングソフトウェア製品において、Jungo社製のデバイスドライバ開発ツールキット「WinDriver」に由来する複数の脆弱性が発見された。これらの脆弱性は不適切な権限管理やリソース枯渇、境界外書き込みなど多岐にわたり、CVSSスコアも4.4から6.0と比較的高い値を示している。^[1]

WinDriverはWindowsプラットフォーム上でハードウェアデバイスを制御するためのドライバを開発するためのツールキットで、産業用機器や医療機器、ネットワーク機器など幅広い分野で使用されている。今回の脆弱性が悪用されれば、攻撃者によるシステムの不正操作や機密情報の窃取、大規模な障害の発生など深刻な被害が懸念される。

三菱電機では影響を受ける製品とバージョンを公表し、早急なアップデートを呼びかけている。WinDriverを使用している他のベンダー製品にも同様の脆弱性が潜んでいる可能性は十分にあり、ユーザー企業においては自社システムへの影響有無の確認と必要な対策の実施が急がれる。サプライチェーン攻撃のリスクが高まる中、ソフトウェアの脆弱性管理はますます重要になっている。

WinDriverの脆弱性対策に遅れ、三菱電機製品に甚大な影響も

Jungo社製WinDriverの脆弱性に関する情報は2023年後半から既に一部で共有されていたが、同社からの具体的な対策方針の発表は2024年4月まで遅れていた。この間にWinDriverの脆弱性を狙ったマルウェアが出回っていたとの情報もあり、対応の遅れが被害拡大につながった可能性がある。

三菱電機は自社製品への影響が判明した段階で速やかに情報公開に踏み切ったものの、脆弱性対策版の提供にはさらに時間を要するとみられる。FAエンジニアリングソフトウェアは製造現場の生産ラインで広く使われているため、脆弱性を放置すれば工場の操業停止など甚大な影響を招きかねない。

ソフトウェアのサプライチェーンを狙った攻撃は年々巧妙さを増しており、ベンダー任せの脆弱性対策では限界がある。ユーザー企業においても自社システムに組み込まれたサードパーティ製品の脆弱性に常に目を光らせ、独自の監視・分析により早期の問題検知を図ることが重要だ。WinDriverの一件を教訓に、製造業のDXをセキュアなものにしていくことが問われている。

脆弱性対策に関する考察

FAエンジニアリングソフトウェアの脆弱性問題は、産業分野のDXを進める上での大きな課題を浮き彫りにした。ものづくりの現場にデジタル技術を導入することで生産性や品質の向上を図る取り組みが加速する一方で、サイバー攻撃のリスクも高まっている。操業システムの機密性と可用性を損なう事態はサプライチェーン全体に甚大な影響を及ぼしかねない。

ソフトウェアのセキュリティホールを突く攻撃は日に日に高度化しており、特にサードパーティ製品の脆弱性は把握が難しい。ベンダー任せの対策だけでは限界があるため、ユーザー企業においてもシステム全体のセキュリティ監視・分析を強化し、異常の兆候を早期に検知する態勢を整えることが求められる。脆弱性情報の収集とリスクの評価、パッチ適用の優先順位づけなど、能動的な脆弱性マネジメントが欠かせない。

加えて、脆弱性対策を推進する上では開発者とユーザー双方の意識改革も重要だ。機能性や利便性を重視するあまりセキュリティがおろそかになりがちだが、製品のライフサイクル全般を見据えたセキュアな設計思想の浸透が不可欠である。また、ユーザー企業においては脆弱性対策を単なるコストではなく、事業継続と価値創造に必須の投資と捉える経営方針へのシフトが急務と言える。