チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「産業用ソフトウェアにも脆弱性があるなんて、製造現場のセキュリティは大丈夫?」
「細工されたファイルを開くだけで任意コード実行されるって、どういう仕組みなの…?」
チップスボス!富士電機のV-SFTっていう産業用ソフトに脆弱性が5件も見つかったらしいでしゅ!CVSS 7.8って結構高いでしゅよね!?
ボスV-SFTは富士電機のタッチパネル(HMI)の画面設計に使うソフトだ。製造業の現場で広く使われている。細工されたファイルを開くだけでコードを実行される脆弱性だから、メール添付やファイル共有経由での攻撃に注意が必要だな。
製造業のOT環境でも、ソフトウェアの脆弱性管理は欠かせません。
この記事では、V-SFTの脆弱性の技術的な仕組みと、製造現場を守るための対策を解説します。
V-SFTを利用している製造業の方は、バージョン確認をすぐに実施してください。
2026年4月1日、JVNはJVNVU#90448293として富士電機V-SFTの脆弱性情報を公開しました。
5件すべてがCVSS v3.1で7.8、v4.0で8.4と高い深刻度です。
影響を受けるバージョンと脆弱性の内容は以下の通りです。
| CVE番号 | 脆弱性の種類 | 影響を受ける関数 |
|---|---|---|
| CVE-2026-32925 | スタックベースのバッファオーバーフロー | CV7BaseMap::WriteV7DataToRom |
| CVE-2026-32926 | 境界外読み取り | load_link_inf |
| CVE-2026-32927 | 境界外読み取り | set_temp_type_default |
| CVE-2026-32928 | スタックベースのバッファオーバーフロー | CSaveData::_conv_AnimationItem |
| CVE-2026-32929 | 境界外読み取り | get_macro_mem_COM |
すべての脆弱性は、細工されたV7形式ファイルをV-SFTで開くことで発生します。
ユーザーの操作(ファイルを開く)が攻撃の起点となるため、ソーシャルエンジニアリングと組み合わせた攻撃が想定されます。
産業用ソフトウェアの脆弱性は、IT環境だけでなくOT(制御システム)環境にも影響を及ぼします。
バッファオーバーフローとは、プログラムが確保したメモリ領域を超えてデータが書き込まれるバグです。
攻撃者はこの仕組みを悪用して、プログラムの実行フローを乗っ取ります。
具体的な攻撃シナリオとして、以下の流れが想定されます。
製造業では設計ファイルのやり取りが日常的に行われるため、不審なファイルと正規のファイルを見分けにくい環境にあります。
IT部門とOT部門が連携して、ファイル受け渡しのルールを明確にしておくことが大切です。
チップス製造現場の端末って、ネットに繋がってないから安全って思ってたでしゅけど……USBとかファイル共有経由で入ってくるんでしゅね……
ボスエアギャップ(物理的なネットワーク分離)があっても、ファイルの持ち込みは防げない。産業用ソフトもIT製品と同様に脆弱性管理の対象にすべきだ。
富士電機V-SFTの脆弱性は、製造業の現場で日常的に使われるツールが攻撃対象になりうることを示しています。
Ver.6.2.11.0以降へのアップデートが根本対策です。
対応として以下を推奨します。
詳細はJVN JVNVU#90448293で確認できます。
ボスIT部門だけでなく、製造現場のエンジニアにもセキュリティ意識を持ってもらう。それが産業セキュリティの第一歩だ。
チップスOTセキュリティ、もっと勉強するでしゅ!ボス、教えてくださいでしゅ!
OTセキュリティや産業制御システムの知見を活かしたい方へ。
フリーランス案件をご紹介しています。
