チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「工場で使ってる三菱電機の制御ソフト、脆弱性とか大丈夫なの?」
「産業用制御システムの脆弱性って、どんなリスクがあるの?」
チップスボス!JPCERT/CCが三菱電機の製品に複数の脆弱性があるって発表したでしゅ!
GENESIS64とかMC Works64とか、工場で使われてるやつでしゅよね?
ボスああ、SCADA/HMIの中核製品だな。
今回は認証情報が平文で保存される脆弱性が含まれている。
産業制御システムの認証情報が盗まれれば、工場の運用に直接影響が出る。
2026年4月7日、JPCERT/CCは三菱電機の複数の産業用制御システム製品に存在する脆弱性情報をJVNで公開しました。
この記事では、脆弱性の内容と製造業の現場で確認すべきポイントを解説します。
三菱電機の産業用ソフトウェアを使っている現場の方は、必ず確認してください。
今回の脆弱性は、三菱電機が提供するSCADA(監視制御)やHMI(ヒューマンマシンインターフェース)関連の複数製品に影響します。
JPCERT/CCが公開した脆弱性情報のうち、主なものは以下です。
| JVN番号 | 脆弱性の種類 | 影響 |
|---|---|---|
| JVNVU#90646130 | 重要情報の平文保存(CVE-2025-14815、CVE-2025-14816) | SQLサーバーの認証情報が窃取される |
| JVNVU#93838985 | サービスの過剰権限実行(CVE-2025-0921) | 攻撃者が高権限でコードを実行できる |
影響を受ける製品は多岐にわたります。
特に深刻なのは「重要情報の平文保存」(JVNVU#90646130)です。
SQL認証を使用している環境では、ローカルキャッシュやHyper Historianの設定画面にデータベースの認証情報が暗号化されずに保存されます。
攻撃者がこの情報を取得すれば、データベースへの不正アクセスが可能になります。
チップスパスワードが平文で保存されてるって、付箋にパスワード書いてるのと同じでしゅよね…。
オイラがよく怒られるやつでしゅ。
ボスお前の付箋と原理は同じだな…。
ただし、こちらはネットワーク経由でアクセスされる可能性がある分、はるかに危険だ。
三菱電機はすでに修正版を公開しています。
対象製品を使用している場合は速やかな対応が必要です。
三菱電機のPSIRTページで公開されている対策情報を元に、以下の手順で対応してください。
MC Works64については後継製品への置き換えが推奨されています。
産業用制御システムのアップデートは稼働への影響を考慮する必要がありますが、認証情報の漏洩リスクは放置できない問題です。
メンテナンス計画に組み込んで、計画的に対応を進めましょう。
チップス工場のシステムって、アップデートが難しそうでしゅよね…。
動いてるものを止められないでしゅし。
ボスだからこそ計画的にやるんだ。
「止められないから放置」では、いずれ攻撃者に止められることになる。
定期メンテナンスの窓を使って、確実にパッチを当てろ。
三菱電機のSCADA/HMI製品に認証情報の平文保存や過剰権限の脆弱性が確認されました。
日本の製造業やインフラで広く採用されている製品だけに、対象環境を使っている場合は速やかなアップデートが必要です。
修正版の適用、SQL認証からWindows認証への切り替え、ネットワークアクセス制限の3点を優先して対応してください。
ボスOT環境のセキュリティは「見えないから安全」ではない。
見えないところにこそ、脅威は潜んでいるものだ。
チップス工場の担当者に連絡して、使ってる製品のバージョン確認してもらうでしゅ!
OTセキュリティや産業用システムの脆弱性対応に強いフリーランスの専門家をお探しの方は、ぜひご登録ください。
