概要
2025年12月2日、米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、産業用制御システム(ICS)に影響を与える5件の新たな高深刻度脆弱性に関する勧告を発表しました。これらの脆弱性は、ビデオ監視プラットフォーム、スマートメーターゲートウェイ、医療画像ソフトウェア、製造制御システムなど、複数のベンダー製品にわたり、エネルギー、ヘルスケア、水道システムを含む世界の重要インフラセクターに影響を及ぼします。
注目すべき脆弱性
- Industrial Video & ControlのLongwatchビデオ監視システム: バージョン6.309から6.334に影響するコードインジェクション脆弱性(CVE-2025-13658、CVSS v4スコア9.3)が報告されています。認証されていない攻撃者が保護されていないHTTP GETリクエストを介して任意のコードをリモートで実行できる可能性があり、SYSTEMレベルの権限取得につながる恐れがあります。バージョン6.335以降への即時アップグレードが推奨されています。
- IskraのiHUBおよびiHUB Liteスマートメーターゲートウェイデバイス: 全バージョンに影響する認証欠如の脆弱性(CVE-2025-13510、CVSS v4スコア9.3)が指摘されています。Web管理インターフェースが認証を必要としないため、認証されていないユーザーがデバイスの再設定、ファームウェアの更新、接続されたシステムの操作を行うことができます。IskraはCISAの調整要請に応答していないため、パッチの入手が困難です。
- Mirion MedicalのEC2 Software NMIS BioDose: バージョン23.0以前に5つの異なる脆弱性(CVSS v4スコア8.7)が存在します。これには、不適切なファイル権限設定による不正なコード変更、アプリケーションバイナリに埋め込まれたハードコードされた資格情報、設定ツールにおけるパスワードフィールドのマスク欠如、リモートコード実行を可能にする無制限のデータベースユーザー権限が含まれます。バージョン23.0以降への即時アップグレードが必要です。
- 三菱電機CNCシリーズの複数ツール: 製造環境で使用される三菱電機CNCシリーズの複数ツールに、制御されない検索パス要素の脆弱性(CVE-2016-2542、CVSS v3スコア7.0)が影響します。この脆弱性はInstallShieldに存在し、セットアップランチャー実行を介した悪意のあるDLLハイジャックを可能にします。NC Trainer2および関連ソフトウェアの修正版が利用可能ですが、古いツールには更新パスがありません。
- 三菱電機MELSEC iQ-RおよびiQ-FシリーズEtherNet/IPモジュール: 4つの異なる脆弱性(CVSS v4スコア8.7)が含まれており、FTP機能を介した認証バイパスを可能にします。弱いパスワード要件、ハードコードされた資格情報、マスクされていないパスワードフィールド、無制限のファイルアップロードなどが含まれます。これにより、リモートの認証されていない攻撃者が製造装置にアクセスできます。新しいファームウェアバージョンではFTPの無効化がサポートされています。
防御的推奨事項
CISAは、防御の多層化戦略を強調しており、組織に対して以下の対策を推奨しています。制御システムをファイアウォールの背後に隔離し、インターネットへの露出を制限すること。リモートアクセスにはVPN保護を実装すること。緩和策を展開する前に影響評価を実施すること。特にFTP機能を持つシステムでは、ネットワークセグメンテーションとファイアウォール保護を直ちに実施することが求められています。
これらの脆弱性を標的とした既知の悪用は現在報告されていません。これは、潜在的な武器化の前に修正を行うための猶予期間を提供します。