CISAがダッソー・システムズの脆弱性に関する警告を発令

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、広く利用されている製造実行システムであるダッソー・システムズのDELMIA Aprisoに発見された2つの深刻な脆弱性について、緊急のセキュリティ警告を発令しました。これらの脆弱性は、組織に差し迫ったリスクをもたらし、早急な対策が必要なものとして、CISAの公式リストに追加されています。

DELMIA Aprisoの深刻な脆弱性

DELMIA Aprisoで特定された2つの重大なセキュリティ欠陥は、それぞれ異なる攻撃経路を持ち、企業システムを危険にさらす可能性があります。

• CVE-2025-6204: コードインジェクション（CWE-94） – 深刻度：クリティカル
  攻撃者はコードインジェクション攻撃を通じて任意のコードを実行し、影響を受けるシステムを完全に制御する可能性があります。
• CVE-2025-6205: 認証の欠如（CWE-862） – 深刻度：クリティカル
  不適切な認証制御に起因するこの脆弱性により、攻撃者はセキュリティ制限を回避し、適切な認証情報なしに昇格された権限を獲得できます。

これらの脆弱性は2025年10月28日にCISAの追跡リストに追加され、実世界での活発な悪用が懸念されています。

攻撃の影響と対象セクター

DELMIA Aprisoは世界中の製造施設に導入されており、重要な生産ワークフローと運用データを扱っています。これらの脆弱性が悪用された場合、攻撃者は機密性の高い製造プロセス、知的財産、生産スケジュールへの不正アクセスを獲得する可能性があります。データ窃盗、システム停止、生産停止の可能性は、製造業、航空宇宙産業、防衛産業の組織にとって特に深刻な脅威となります。

CISAの勧告と対応期限

CISAはこれらの脅威に対し、即座の対応を要求しています。DELMIA Aprisoを使用している組織は、この警告を最優先事項として扱い、広範な攻撃が発生する前に対応する必要があります。CISAは、2025年11月18日を修正期限として設定しており、組織にはセキュリティ問題に対処するために約3週間の猶予が与えられています。

組織が取るべき対策

組織は直ちにDELMIA Aprisoを実行しているすべてのシステムを棚卸しし、ダッソー・システムズが提供するセキュリティアップデートを適用する必要があります。同社は緩和策とパッチをリリースしており、これらをできるだけ早く展開することが求められます。CISAは、クラウドベースの展開におけるBOD 22-01ガイダンスへの準拠を特に参照しており、クラウド版ソフトウェアを使用している場合は追加の保護策を実装するよう求めています。

期限内にパッチを適用できない組織に対しては、CISAは以下のいずれかの対策を推奨しています。

• 潜在的な攻撃経路をブロックするための補償制御（ネットワークセグメンテーション、アクセス制限、強化された監視など）を実装する。
• パッチが利用可能になるまで、影響を受ける製品の使用を中止する。

今後の脅威とセキュリティの重要性

この警告は、企業システム全体で最新のセキュリティパッチを維持することの重要性を改めて強調するものです。製造および生産環境は、直ちに脆弱性評価を実施し、ITセキュリティチームと連携して修正を優先する必要があります。また、組織はインシデント対応計画を見直し、DELMIA Aprisoのインストールを標的とした不審な活動を監視システムが検出できることを確認する必要があります。脅威の状況は進化し続けており、攻撃者はより広範なネットワーク侵害の侵入点として製造ソフトウェアを標的とすることが増えています。

---

元記事: https://gbhackers.com/cisa-issues-dassault-systemes-security-flaws/