三菱電機「MELSEC iQ-F」シリーズに深刻な脆弱性、情報漏えいやDoS攻撃の恐れ(CVE-2025-3755)|セキュリティニュース

投稿日時: 2025年05月30日更新日時: 2025年05月30日

三菱電機は2025年5月29日、同社のPLC製品「MELSEC iQ-F」シリーズにおいて、情報の漏えいやサービス拒否（DoS）攻撃が可能となる脆弱性（CVE-2025-3755）が存在することを公表しました。

この脆弱性は、ネットワーク経由での攻撃によって、対象製品の情報を不正に読み出されたり、CPUユニットの通信停止や動作停止を引き起こす可能性があり、深刻なリスクをはらんでいます。

脆弱性の対象製品

影響を受けるのは、以下のMELSEC iQ-Fシリーズに属するすべてのバージョンです。

対象製品の詳細な品番と対応確認は、三菱電機の公式サイトやダウンロードセンターから確認できます。

問題となっているのは、入力パラメータのインデックスやオフセットに対する不適切な検証（CWE-1285）による脆弱性です。これにより、攻撃者が細工された不正なパケットを送信することで、以下の影響を与える可能性があります。

被害が発生した場合は、手動でのリセットが必要となるため、現場対応や復旧作業にも支障をきたす恐れがあります。

脆弱性の深刻度は、CVSS v3.1 基本値9.1（Critical）と評価されており、インターネット経由での攻撃も可能（AV:N）、ユーザー操作不要（UI:N）であることから、遠隔からの無操作攻撃が可能な非常に危険な脆弱性です。

本脆弱性について、三菱電機からのパッチ提供は予定されていません。そのため、以下のような軽減策・回避策を講じることでリスクの最小化が求められます。

※IPフィルタ機能の詳細は、「MELSEC iQ-F FX5 ユーザーズマニュアル（通信編）」の13.1節に記載されています。

参照

https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2025-003.pdf