三菱電機FA製品の専用プロトコル/SLMP通信に深刻な脆弱性、情報漏えい・改ざん・DoSの恐れ(CVE-2025-15080)

セキュリティニュース

投稿日時: 更新日時:

三菱電機FA製品の専用プロトコル/SLMP通信に深刻な脆弱性、情報漏えい・改ざん・DoSの恐れ(CVE-2025-15080)

三菱電機は2026年2月5日、同社FA製品で使用される「当社専用プロトコル通信」および「SLMP通信」において、情報漏えい、情報改ざん、サービス拒否(DoS)につながり得る脆弱性が判明したと公表しました。攻撃者が特定のコマンドを含む不正なパケットを対象機器に送信した場合、制御プログラムの一部やデバイスデータの読み出し、デバイスデータの書き込み、または装置を停止状態(DoS)に陥らせる可能性があるとしています。

どんな脆弱性か:不正パケットで「読み出し・書き込み・停止」が起きる可能性

対象は、FA製品が用いるプロトコル通信の一部コマンドで、入力で指定された数量の検証が不適切であることに起因する脆弱性(CWE-1284)と説明されています。これにより、攻撃者が不正パケットを送ることで、以下のような影響が生じるおそれがあります。

  • 制御プログラムの一部やデバイスデータの読み出し(情報漏えい)

  • デバイスデータの書き込み(情報改ざん)

  • 装置・機器のサービス停止(DoS)

FA/制御系では、デバイスデータの改ざんが品質や安全、稼働に直結し得るため、情報漏えいだけでなく「改ざん」「停止」が併記されている点が重要です。

CVSS評価:基本値8.8(高リスク)

本件は CVE-2025-15080 として管理され、CVSS v4.0の基本値は 8.8 とされています。ネットワーク経由で攻撃可能(AV:N)で、攻撃条件が厳しくない(AC:L)一方、機密性への影響は低(VC:L)とされつつも、完全性(VI:H)と可用性(VA:H)が高い評価になっています。つまり「改ざん」や「停止」リスクが大きい類型です。

影響を受ける製品:MELSEC iQ-R「R08/16/32/120PCPU」バージョン48以前

三菱電機の公表によると、影響を受けるのは以下の製品です。

  • シリーズ:MELSEC iQ-R シリーズ

  • 製品形名:R08/16/32/120PCPU

  • 影響を受けるバージョン48以前

該当機器を運用している場合、ファームウェア更新の要否確認が必要になります。

修正済みバージョン:バージョン49以降へ更新を推奨

同社は、対策済みの製品バージョンとして以下を示しています。

  • 対策済みバージョン49以降(R08/16/32/120PCPU)

利用者に対しては、案内された手順に従い、対策済みバージョンへファームウェアを更新するよう求めています。アップデートファイルやバージョンアップ用のエンジニアリングソフト、マニュアルは同社のダウンロードサイトから入手するとしています。

すぐにアップデートできない場合の軽減策:外部から到達させない設計へ

三菱電機は、悪用リスクを最小化するための軽減策も挙げています。ポイントは「当該製品を不用意に外部ネットワークへ露出させない」ことです。

  • インターネット接続が必要な場合は、ファイアウォールやVPN等で不正アクセスを防止する

  • 信頼できないネットワーク/ホストからのアクセスをファイアウォールで遮断する

  • ファイアウォールやIPフィルタ等で接続元を最小限に絞り、信頼できない相手から到達できないようにする

  • 当該製品および接続LANへの物理的アクセスも制限する

制御系の対策では、パッチ適用(更新)と同時に、ネットワーク分離・経路制御(許可制)を組み合わせるのが現実的です。特に、工場内LANで運用している場合でも、拠点間接続や保守回線、踏み台端末などから意図せず到達可能になっていないか、棚卸しが有効です。