2025年4月18日、横河電機(Yokogawa Electric Corporation)は、自社の記録計製品において初期設定で認証機能が無効化されている脆弱性を公表しました。該当製品をネットワークに接続した際に、認証なしで外部から全機能にアクセスされる危険性があるとのことで、CVSS v3スコアは9.8(Critical)と評価されています。
この脆弱性は「CVE-2025-1863」として登録されており、産業機器における構成情報や計測データの改ざんといった重大なインシデントに繋がる可能性があります。
影響を受ける製品とバージョン
| 製品名 | 影響を受けるバージョン |
|---|---|
| GX10 / GX20 / GP10 / GP20(ペーパレスレコーダー) | R5.04.01以前 |
| GM(データ収集システム) | R5.05.01以前 |
| DX1000 / DX2000 / DX1000N(ペーパレスレコーダー) | R4.21以前 |
| FX1000(ペーパレスレコーダー) | R1.31以前 |
| μR10000 / μR20000(チャートレコーダー) | R1.51以前 |
| MW100(データ収集ユニット) | 全バージョン |
| DX1000T / DX2000T(ペーパレスレコーダー) | 全バージョン |
| CX1000 / CX2000(ペーパレスレコーダー) | 全バージョン |
脆弱性の概要:認証機能が初期状態で無効
問題となっているのは、以下の記録計およびデータ収集装置において、出荷時のデフォルト状態で認証機能(ログイン機能)が無効になっているという設定です。そのため、ネットワークに接続されている場合、誰でもアクセスでき、計測値や設定の改ざんが可能な状態となっています。
この設定ミスは、CWE(Common Weakness Enumeration)におけるCWE-1188:不適切な初期設定に該当します。
推奨される対策
横河電機は、以下の即時対策を推奨しています:
-
認証機能(ログイン機能)を有効にする
-
デフォルトパスワードから安全なパスワードに変更する
加えて、セキュリティ対策を全体的に強化するため、次のような包括的なセキュリティプログラムの導入も推奨されています
-
パッチ適用の運用
-
ウイルス対策ソフトやEDRの導入
-
バックアップとリカバリ体制の確保
-
ネットワークゾーニングとハードニング
-
ホワイトリスト管理とファイアウォール設定
なお、上記対応における作業が横河電機のサービス担当者により行われる場合、その費用は顧客負担となる点に注意が必要です。
情報システム部門・OT管理者へのメッセージ
本脆弱性は、「操作ミス」ではなく「設計上の初期不備」に起因するセキュリティホールであり、今すぐにでも設定を見直すべき内容です。特に製造業やインフラ系企業において、OTネットワークとITネットワークが部分的に接続されているケースでは、外部侵入時に最も狙われる“測定装置・ログ装置”の防御が極めて重要です。
製品が稼働中であっても、以下のようなステップでの確認と対策を推奨します:
-
現在のファームウェアバージョンと設定内容の棚卸し
-
ネットワークに接続されている記録装置の一覧化
-
認証設定・パスワード管理ポリシーの見直し
関連記事
JenkinsのDockerイメージにSSHホストキー再利用の脆弱性(CVE-2025-32754,CVE-2025-32755)
MITRE 脆弱性 管理のCVE プログラム 存続へ新たな動き-CVE財団が発足、米政府はMITRE契約を延長
新たなWindowsゼロデイ脆弱性がNTLMハッシュを漏洩、非公式パッチがリリース
Palo Alto NetworksのPAN-OSの脆弱性(CVE-2025-0110)のPoCが公開
Active! mail! でスタックベースのバッファオーバーフローの脆弱性 既にゼロデイ攻撃に悪用を確認(CVE-2025-42599)
Fortinetの新たな脆弱性がゼロデイ攻撃に悪用(CVE-2025-24472)
CISAがAppleのiOSとMicrosoftの脆弱性の積極的な悪用を警告
パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告
IIJ セキュアMXサービスへのサイバー攻撃でメールアドレス約31万件と586契約の情報漏洩を確認-IIJ
