三菱電機 が製造した設備から高リスクの脆弱性か

セキュリティメディア「SecurityWeek」によると、日本の大企業「 三菱電機 （Mitsubishi Electric）」が製造した工場自動化設備から深刻な脆弱性が発見されたそうです。認証の手続きをバイパスし、リモートでコードを実行できるようにする高リスクの脆弱性で、EZSocket、FR Configurator 2、GT Designer 3、GX/MT Works、MELSOFT Navigator、MX等の製品群で発見されていると分析されています。脆弱性のエクスプロイトに成功すると、攻撃者は敏感な情報にアクセスし、様々な悪性行為を実施するか、DDoS攻撃で設備の稼働を中断させることができるようになります。脆弱性はCVE-2023-6942、CVE-2023-6943に分類されます。

現在、この脆弱性に対するパッチはまだ公開されていません。脆弱性はセキュリティ企業「Dragos」が初めて発見して 三菱電機 の方に申告し、パッチは開発中だそうです。パッチが発表されるまで脆弱な設備を使用する企業の場合、一般的なセキュリティを強化する措置を取ることしか方法がありません。特に、インターネットから設備を分離しておくことが重要です。

SecurityWeekはこれに対し、「脆弱性が実際にエクスプロイトされたら、多分、エンジニアリング・ワークステーションの方にアクセスしようとする試しが増えるのではないかと思います。そこからPLC等を攻撃者が勝手に操作する可能性が高いので、そのような方向で予め対策を準備しておいた方がいいでしょう。」と加えました。