はじめに
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日(2025年10月28日)、Dassault Systèmesの製造オペレーション管理(MOM)および実行(MES)ソリューションであるDELMIA Aprisoにおいて、攻撃者によって積極的に悪用されている2つの脆弱性について警告を発しました。
脆弱性の詳細
今回警告された脆弱性は以下の通りです。
- CVE-2025-6205:認証なしでリモートから特権アクセスを可能にする深刻度クリティカルの認証不備の脆弱性です。
- CVE-2025-6204:高い権限を持つ攻撃者が脆弱なシステム上で任意のコードを実行できる深刻度ハイのコードインジェクションの脆弱性です。
Dassault Systèmesは、これらの脆弱性がDELMIA AprisoのRelease 2020からRelease 2025までに影響することを認め、2025年8月上旬にパッチを公開しています。
CISAの勧告と対応
CISAは、これらの脆弱性を既知の悪用されている脆弱性(KEV)カタログに追加しました。2021年11月に発行された拘束力のある運用指令(BOD)22-01に基づき、連邦政府の行政機関(FCEB)は、2025年11月18日までにこれらの脆弱性に対処することが義務付けられています。
CISAは、すべてのIT管理者およびネットワーク防御者に対し、これらの脆弱性へのパッチ適用を最優先事項として実施するよう強く促しています。同庁は、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府の企業に重大なリスクをもたらす」と述べています。
DELMIA Aprisoの重要性と過去の警告
DELMIA Aprisoは、世界中の企業で倉庫管理、生産スケジューリング、リソース割り当て、品質管理、生産設備とビジネスアプリケーションの統合などに利用されています。特に自動車、エレクトロニクス、航空宇宙、産業機械などの分野で、トレーサビリティ、コンプライアンス、高水準の品質管理とプロセス標準化が求められる環境で導入されています。
CISAは、2025年9月にもDELMIA Aprisoのクリティカルなリモートコード実行の脆弱性(CVE-2025-5086)をKEVカタログに追加しており、今回の警告は同製品に対する継続的な脅威を示唆しています。