「工場の制御システムに脆弱性が出たと聞いたが、自社のFAST/TOOLSは大丈夫か?」
「ICS製品の脆弱性は情報が英語ばかりで、何をどう確認すればいいか分からない……」
ボス、横河電機のFAST/TOOLSに脆弱性って出たんでしゅか?制御システムってなんか怖いんでしゅけど……。
今回はJPCERT/CCがCISAと連携して日本語で周知してくれているから、情報は取りやすい。ただし制御システムのパッチ適用には手順が要る。軽く見ず、確実に対処しておくことだ。
横河電機が提供する産業用ソフトウェア「FAST/TOOLS」および「CI Server(Collaborative Information Server)」に情報漏洩につながる脆弱性が発見された。
CISAがICSアドバイザリ(ICSA-26-176-01)として2026年6月25日に公開し、JPCERT/CCが日本の企業・インフラ事業者に周知した。
製造業・エネルギー・食品農業分野の制御システムに影響する。
- FAST/TOOLS(R9.01〜R10.04)とCI Server(R1.01〜R1.04)が対象、設定情報が外部に漏洩する恐れ
- 製造業・エネルギー・食品農業の制御システムに広く影響、日本国内でも多数の工場が利用
- パッチはすでに提供中、FAST/TOOLS R10.04 SP4 / CI Server R1.05 への更新が推奨
この記事では、脆弱性の技術的な内容と影響範囲、そして自社環境でのパッチ適用手順を解説する。
FAST/TOOLSやCI Serverを導入している情報システム担当者・工場セキュリティ担当者は、早急に確認していただきたい。
目次
Yokogawa FAST/TOOLSとCI Serverの脆弱性(ICSA-26-176-01)の概要
今回の脆弱性は、日本を代表するOTベンダーの産業用制御ソフトウェアに影響する点で注目度が高い。
ウェブサーバーがCI Server設定情報を平文で返す情報漏洩の脆弱性
脆弱性の種別はCWE-319「機密情報の平文送信」だ。
FAST/TOOLSのウェブサーバーがリクエストに対してCI Serverの設定情報を含むレスポンスを返してしまう問題で、この情報を悪用した二次攻撃につながる可能性がある。
影響を受ける製品と対象バージョンは以下の通りだ。
- FAST/TOOLS:R9.01以上R10.04以下
- CI Server(Collaborative Information Server):R1.01以上R1.04以下
影響を受ける産業分野は「重要製造業・エネルギー・食品農業」とCISAが分類している。
日本国内でも石油・化学・食品プラントや電力関連設備でFAST/TOOLSが使われており、脆弱なバージョンが残っていないかの確認が急務だ。
設定情報が漏れるってことは、その後どんな攻撃ができるんでしゅか?
設定情報には通信先のアドレスや認証情報のヒントが含まれる場合がある。これを足がかりに、制御システム内部への横展開や不正操作につなげられる可能性がある。OT環境では一度侵入されると物理的なプロセスに影響が出かねないから、事前の対処が重要だ。
JPCERT/CCによる周知内容と推奨パッチ・対策
今回の脆弱性は、Yokogawa自身がJPCERT/CCに報告したことで、日本語での周知が迅速に行われた。
パッチ更新とネットワーク分離が主な対策
横河電機はすでにパッチを提供している。
推奨対策のポイントは以下の通りだ。
- FAST/TOOLS:R10.04 SP4パッチソフトウェアを適用する(対象バージョン R9.01〜R10.04)
- CI Server:R1.05にアップデートする(対象バージョン R1.01〜R1.04)
- ネットワーク分離の確認:FAST/TOOLSのウェブサーバーが不必要にインターネットや社内オフィスネットワークに公開されていないか確認する
- アクセスログの監視:設定情報取得を試みる不審なリクエストが過去にないか確認する
今回CISAが同時期に公開したICSアドバイザリには、Yokogawa以外にもHorner Automation CscapeやDaktronics Controller Firmwareなど複数製品の脆弱性情報が含まれていた。
JPCERT/CCはこれらを一括して日本向けに周知しており、制御システムを持つ国内企業は横断的に確認することが望まれる。
OT環境のパッチって、工場止めないとできないことが多くて難しいんでしゅよね……。
その通りだ。OT機器のパッチ適用は計画的なメンテナンス窓口が必要になる。だが「パッチが難しいから後回し」では済まない。まずネットワーク分離で攻撃面を縮小してから、計画的に適用するという順番が正しい。
まとめ:OT環境も「後回し」では済まない時代に
Yokogawa FAST/TOOLSのICSQL情報漏洩脆弱性は、現時点では積極的な悪用報告はない。
だが制御システムへの攻撃は年々増加しており、FAST/TOOLSのような基幹OT製品は格好の標的だ。
パッチ(FAST/TOOLS R10.04 SP4・CI Server R1.05)はすでに提供されている。
OT環境の都合でパッチが難しい場合は、まずネットワーク分離と異常アクセスの監視体制を整え、計画的な適用につなげていただきたい。
工場のFAST/TOOLSのバージョン確認と、ウェブサーバーの公開範囲チェックから始めてみましゅ!
ふふふ。確認と範囲の把握、それが制御システムセキュリティの第一歩だ。