🔴 重要情報セキュリティ
JVN、Trane、Siemens、三菱電機など複数製品の脆弱性情報を公開
共有:
広告
要約
JPCERT/CCとIPAが運営するJapan Vulnerability Notes (JVN) が2026年3月13日に更新され、Trane製品の複数脆弱性、Inductive Automation製Ignition Softwareのデシリアライゼーション脆弱性、Siemens製品の月次アップデート、Honeywell製CCTVカメラの認証不備、三菱電機数値制御装置のDoS脆弱性など、多数の新たな脆弱性情報が公開されました。これらの脆弱性は、認証回避、遠隔からのコード実行、サービス運用妨害といった重大な影響を及ぼす可能性があり、対象製品の利用者は速やかな対応が求められます。
ポイント
- 12026年3月13日、JVNはTrane Tracer SC/SC+/Concierge製品における認証回避や情報漏えいに繋がる複数の脆弱性(CVE-2026-28252他)を公開し、Tracer SC+ v6.30.2313へのアップデートを推奨。
- 2Inductive Automation製Ignition Software(v8.3.0より前)に遠隔からのコード実行を許す信頼できないデータのデシリアライゼーションの脆弱性(CVE-2025-13913)が報告され、アップデートまたはワークアラウンドの適用が必須。
- 3Siemens製品に対する2026年3月の月次アップデートが公開され、複数の製品で不正アクセス、コード注入、サービス運用妨害などの脆弱性に対応。利用者は各アドバイザリを確認し、速やかにアップデートまたはワークアラウンドを実施する必要がある。
- 4Honeywell製CCTVカメラI-HIB2PI-UL(全バージョン)に重要な機能に対する認証の欠如の脆弱性(CVE-2026-1670)が確認され、パスワード復旧用メールアドレスの変更リスクがある。製造中止製品のため、ユーザーはHoneywellへの問い合わせが推奨される。
- 5三菱電機数値制御装置(M800V/M80V、M800/M80/E80、C80、M700V/M70V/E70シリーズ、NC Trainer2/plus)にサービス運用妨害(DoS)の脆弱性(CVE-2025-2399)が報告され、不正なパケットによりシステムが非常停止する可能性があるため、対策版へのアップデートまたは軽減策の適用が求められる。
💡インサイト
今回のJVN更新は、産業制御やビル管理などOT(Operational Technology)領域のサイバーリスクが、DX推進に伴うITとの融合により深刻化している現状を浮き彫りにしました。 これまで比較的安全とされた工場やインフラが攻撃対象となり、生産停止など物理的損害に直結する脅威が増大しています。 この動向はOTセキュリティ市場の拡大を加速させると予測されます。 企業は自社設備のリスク再評価と脆弱性管理体制の強化が急務であり、今後は製品開発段階からのセキュリティ対策(セキュアバイデザイン)と専門的な監視ソリューションの導入が一層重要になります。
#脆弱性#セキュリティ#アップデート#注意喚起#JPCERT/CC#IPA#CVE#JVN
ソースURL
https://jvn.jp/広告
共有:
このようなニュースを自動で受け取りませんか?
気になるWebページを登録するだけで、変更をAIが記事にしてお届けします
無料で始める