米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月18日(米国時間)、「Emerson Rosemount X-STREAM|CISA」において、Emerson Rosemount X-STREAM Gas Analyzerに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって機密情報の窃取や設定の変更などが行われるおそれがあるという。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • X-STREAM enhanced XEGP すべてのリビジョン
  • X-STREAM enhanced XEGK すべてのリビジョン
  • X-STREAM enhanced XEFD すべてのリビジョン
  • X-STREAM enhanced XEXF すべてのリビジョン
  • Emerson Rosemount X-STREAM|CISA

    Emerson Rosemount X-STREAM|CISA

脆弱性は深刻度がCVSSv3スコアで7.5の重要に分類されているほか、遠隔からのサイバー攻撃が可能で、攻撃に必要となる複雑さも低いとされていることから注意が必要。Emersonは該当するプロダクトを使っているユーザーに対し、ファームウェアのアップデートを推奨している。

最近、産業用制御システム(ICS: Industrial Control System)向けのセキュリティアドバイザリの発行が続いている背景には、産業用制御システムがサイバー犯罪者によって利用される傾向が増加していることに理由がある。産業用制御システムはアップデートが適用されないまま運用されていることが多く、サイバー攻撃者にとって格好の標的になっている。該当するプロダクトを使用している場合には迅速にアップデートを適用することが望まれる。