チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「うちの工場のシステムも危ないんでしゅか?」
「9件もまとめて警告って、何が起きてるんでしゅか?」
チップスボス、CISAから一気に9件もICSの警告が出たって聞いたんでしゅけど…うちの工場、大丈夫でしゅか?
ボスふふふ、よく気づいたな。今回はパッチが出ない製品まで含まれている。腰を据えて状況を整理していこう。
2026年5月28日、米CISAが産業制御システム(ICS)向けに9件の新規セキュリティアドバイザリを一斉公開しました。
JPCERT/CCも翌29日に日本語で周知しており、国内のOT環境を持つ製造業・インフラ事業者にとって見過ごせない内容となっています。
本記事では、注目すべき脆弱性とそのリスク、現場で取るべき優先対応を整理します。
読み進めると、それぞれの脆弱性のリスクと、自社のOT資産を守るための具体的な優先順位が見えてきます。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
まずは何が公表されたのか、全体像から確認していきましょう。
CISAは2026年5月28日に、9件の新規アドバイザリと2件の更新を発出しました。
JPCERT/CCはこれを受けて翌29日にJVNVU#92172885として日本語で公開しています。
対象となる主な製品は以下の通りです。
| 製品 | ベンダー | 主な脆弱性 |
|---|---|---|
| USR-W610 RS232/485変換器 | Jinan USR IOT (PUSR) | CVE-2026-7786(CVSS 9.8) |
| CP-UNR-108F1 NVR | CP Plus | CVE-2026-6824(保存型XSS) |
| EcoStruxure Machine Expert HVAC | Schneider Electric | 認証関連の不備 |
チップスえっ、PUSRのやつ、CVSS9.8って数字も怖いんでしゅけど、パッチが出ないってどういうことでしゅか?
ボス製品が販売終了(EOL)扱いだからな。ベンダーが「もう直さない」と決めた以上、利用者側で物理的に切り離す覚悟が要る。
USR-W610はRS232/485を無線LANに変換する産業用ゲートウェイで、工場や設備の制御信号を担う機器です。
今回判明したCVE-2026-7786では、ファームウェアに管理者認証情報がハードコードされており、ファームウェアを解析すれば誰でもログインできてしまいます。
CVSSは9.8と最大級で、リモートからの完全乗っ取りが現実的な脅威となります。
では国内事業者として、何から手を打てばよいのでしょうか。
EOLの製品は、ベンダーがセキュリティ修正を提供しません。
PUSR USR-W610のように業務に組み込まれた中継機器が対象になると、即時の入れ替えは現実的でなく、代替策で時間を稼ぐしかなくなります。
優先すべき対応のポイントは以下の通りです。
CP Plus NVRの保存型XSSは、管理画面に細工したスクリプトを保存することで、別の運用者がアクセスした瞬間に攻撃が成立します。
監視カメラのレコーダーが侵害されると、映像の改ざんや侵入の痕跡消去にもつながるため、早期のファームウェア適用が欠かせません。
Schneider Electric EcoStruxureも含め、対応の流れは以下のように整理できます。
対象機種と稼働拠点の一覧を作り、影響範囲を可視化する
ベンダー公開のパッチを優先適用し、EOL機器は隔離・置換計画に振り分ける
OTセグメントの通信ログを取り、想定外の通信元・送信先を継続的に検知する
チップスパッチが出ない機器を抱えてる工場って、ほんと辛いんでしゅね…。
ボスそうだな。だからこそ、調達段階でEOLポリシーまで含めた評価が要るんだ。
CISAが2026年5月28日にまとめて公表したICS脆弱性は、日本企業のOT環境にも直結する内容でした。
とくにPUSR USR-W610のようなEOL機器は、パッチで救えない以上、ネットワーク分離と置換計画の両輪で備える必要があります。
JPCERT/CCの日本語アドバイザリを起点に、自社の資産マッピングと対応優先順位を見直しましょう。
OTセキュリティの専門人材が不足している現場では、外部のセキュリティフリーランスの活用が有効な選択肢になります。
ぜひ JVNVU#92172885 も併せて参照し、最新の情報を取得してください。
オススメ案件
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
