産業用制御システム製品における認証バイパス脆弱性と対策の周知

解説

今回は、ABB社製の特定のドアオープナーアクチュエータ（Busch-Welcome® System）に、認証を回避できてしまう可能性のある脆弱性が見つかった件に関する技術的な情報共有です。

この脆弱性は、「互換モード」がデフォルトで有効になっている点に関連しており、悪用された場合、設置場所全体に対する物理的な不正アクセスにつながる危険性が指摘されています。制御システムを扱う機器において、認証プロセスを飛び越えて操作が行える可能性があるというのは、非常に重大なセキュリティリスクと言えます。

具体的な対策として、現時点では製品のモードスイッチを一時的に切り替える手順や、システム全体の電源リセットによる再キャリブレーションが推奨されています。これらはシステムの設定情報から不正な状態を自動で修正することを目的としています。

さらに、CISA（米国サイバーセキュリティ機関）からも、制御システム全般に対する防御的な措置として、ネットワークの露出を最小限に抑えること、ファイアウォールによる分離、そしてVPNなどのセキュアなリモートアクセス方法の使用が推奨されています。これは、特定の製品だけでなく、産業用制御システム全体のセキュリティレベル向上を目指す包括的な指針です。

個別の機器のリセット手順に加え、全体としてネットワークの隔離や堅牢化を図ることが求められる状況であり、早期に対策を講じることが強く望まれます。

ポイント

• ABB社製の特定のドアオープナーアクチュエータに認証バイパスの脆弱性が発見されたため、早急な対応が求められています。
• 主な暫定的な対応として、製品モードスイッチの切り替えとシステム全体の電源リセットによる再キャリブレーションが推奨されています。
• 長期的な視点では、制御システムネットワーク全体を外部から隔離し、ファイアウォール等で防御することが重要です。

情シスへの影響

特定のドアオープナーアクチュエータ（Busch-Welcome® Systemなど）の運用担当者:

・製品モードスイッチを一時的に「ドアオープン」→「ライト」→「ドアオープン」と切り替える操作が必須。

・システム全体の電源リセットを行い、再キャリブレーションを実行する手順が必要。

制御システムネットワーク管理者/セキュリティ担当者:

・制御系デバイスのネットワーク露出を最小化し、インターネットからのアクセスを遮断する対策を実施する。

・コントロールシステム網とビジネス網を分離（アイソレート）し、ファイアウォールで防御する設計を見直す。

・リモートアクセスが必要な場合、VPNの使用や、最新バージョンへのアップデートを徹底する。

重要度

★★★★☆

対象者

• ネットワーク管理者
• セキュリティ担当者

優先度

早めに対応