JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月18日、「JVNVU#92330101: 三菱電機製 FA エンジニアリングソフトウェア製品における複数の脆弱性」において、三菱電機製の複数のFAエンジニアリングソフトウェア製品に複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムがサービス妨害攻撃(DoS: Denial of Service attack)を受けたり、悪意あるプログラムが実行されたりするおそれがあるとされており注意が必要。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • C 言語コントローラ用設定・モニタツール 全バージョン
  • CPU ユニットロギング設定ツール 全バージョン
  • CW Configurator 全バージョン
  • データ転送ツール 全バージョン
  • EZSocket 全バージョン
  • FR Configurator 全バージョン
  • FR Configurator SW3 全バージョン
  • FR Configurator2 全バージョン
  • GT Designer3 Version1 (GOT1000) 全バージョン
  • GT Designer3 Version1 (GOT2000) 全バージョン
  • GT SoftGOT1000 Version3 全バージョン
  • GT SoftGOT2000 Version1 全バージョン
  • GX Configurator-DP 7.14Q以前
  • GX Configurator-QP 全バージョン
  • GX Developer 全バージョン
  • GX Explorer 全バージョン
  • GX IEC Developer 全バージョン
  • GX LogViewer 全バージョン
  • GX RemoteService-I 全バージョン
  • GX Works2 1.597X以前
  • GX Works3 1.070Y以前
  • M_CommDTM-HART 全バージョン
  • M_CommDTM-IO-Link 全バージョン
  • MELFA-Works 全バージョン
  • WinCPU 設定ユーティリティ 全バージョン
  • MELSOFT EM Software Development Kit (EM Configurator) 全バージョン
  • MELSOFT Navigator 全バージョン
  • MH11 SettingTool Version2 全バージョン
  • MI Configurator 全バージョン
  • MT Works2 全バージョン
  • MX Component 全バージョン
  • ネットワークインタフェースボード CC IE Control ユーティリティ 全バージョン
  • ネットワークインタフェースボード CC IE Field ユーティリティ 全バージョン
  • ネットワークインタフェースボード CC-Link Ver.2 ユーティリティ 全バージョン
  • ネットワークインタフェースボード MNETH ユーティリティ 全バージョン
  • PX Developer 全バージョン
  • RT ToolBox2 全バージョン
  • RT ToolBox3 全バージョン
  • C 言語コントローラ設定・モニタツール 全バージョン
  • SLMP データコレクタ 全バージョン

ィ脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • GX Configurator-DP 7.15Rおよびそれ以降のバージョン
  • GX Works2 1.600Aおよびそれ以降のバージョン
  • GX Works3 1.072Aおよびそれ以降のバージョン
  • JVNVU#92330101: 三菱電機製 FA エンジニアリングソフトウェア製品における複数の脆弱性

    JVNVU#92330101: 三菱電機製 FA エンジニアリングソフトウェア製品における複数の脆弱性

修正版が提供されていない製品を使用している、または、修正版を適用することができない場合は、回避策を適用することが推奨されている。回避策を適用することで対象の脆弱性の影響を軽減することが可能。脆弱性の深刻度はCVSSv3スコア7.5で、重要に分類されており注意が必要。対象となる製品が多岐にわたることから、該当する製品を使用していないか注意深くチェックするとともに、適切に対処することが望まれる。

ここ最近、特に工場などで使用される制御ソフトウェアや制御製品などを標的としたサイバー攻撃が増加している。そうしたソフトウェアに関する脆弱性報告も増えており注意が必要。使用している製品を把握するとともに、セキュリティ情報に迅速に対処していくことが望まれる。