米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月24日(米国時間)、産業用制御システム向けのセキュリティアドバイザリ「Yokogawa CENTUM and Exaopc|CISA」において、横河電機の統合生産制御システムに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってアラームの抑制、ファイルの読み書き、サーバクラッシュ、任意コードの実行などを実施される危険性があるとされている。
セキュリティ脆弱性の詳細は次のページにまとまっている。
脆弱性が存在するとされるプロダクトは次のとおり。
- CENTUM CS 3000 (CENTUM CS 3000 Entry Classを含む) R3.08.10からR3.09.00までのバージョン
- CENTUM VP (CENTUM VP Entry Classを含む) R4.01.00からR4.03.00までのバージョン
- CENTUM VP (CENTUM VP Entry Classを含む) R5.01.00からR5.04.20までのバージョン
- CENTUM VP (CENTUM VP Entry Classを含む) R6.01.00からR6.08.00までのバージョン
- Exaopc R3.72.00からR3.79.00までのバージョン
なお、この脆弱性の影響を直接受けるわけではないが、CENTUMが同じパソコンにインストールされている場合は、次の製品も影響を受けるリスクがあるとされており注意が必要。
- B/M9000CS R5.04.01からR5.05.01までのバージョン
- B/M9000 VP R6.01.01からR8.03.01までのバージョン
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- CENTUM VP R6.09.00およびこれ以降のバージョン
- Exaopc R3.80.00およびこれ以降のバージョン
- CENTUM CS 3000はすでにサポート対象外。CENTUM VPなどへのアップグレードを推奨
一部の脆弱性は深刻度が「重要」に分類されており注意が必要。産業用制御システムは運用が始まるとセキュリティアップデートが適用されないまま状態が続くことがある。こうしたシステムはサイバー犯罪者にとって格好の標的となることがわかっている。該当する製品を使用している場合は、迅速にアップデートや回避策、対策の適用などを取ることが望まれる。