Hitachi Energy SuprOSにデフォルト認証情報の脆弱性、不正アクセスのリスク

Hitachi Energy SuprOSにハードコードされたデフォルト認証情報の脆弱性を確認

マドリード（スペイン） – 2026年2月13日 – スペイン国立サイバーセキュリティ研究所（INCIBE）は、広く使用されている産業用制御システム（ICS）プラットフォームであるHitachi Energy SuprOSにハードコードされたデフォルト認証情報が存在する問題について警告を発表しました。この脆弱性により、重要インフラが不正アクセスや運用妨害のリスクにさらされています。

技術的詳細

この脆弱性は、CVE-2026-XXXX（公式割り当て待ち）として追跡されており、SuprOSソフトウェアの最新セキュリティパッチより前のバージョンに静的で変更不可能な認証情報が埋め込まれていることが確認されています。ネットワークアクセスを持つ攻撃者は、これらの認証情報を悪用して管理者権限を取得し、認証を回避して産業プロセスを操作する可能性があります。

Hitachi Energy SuprOSは、エネルギー、公共事業、製造業などの分野で広く導入されており、多くの場合、監視制御およびデータ収集（SCADA）システムを管理しています。デフォルト認証情報の使用はよく知られたセキュリティリスクですが、運用技術（OT）環境では依然として根強い問題となっています。

影響分析

この脆弱性が悪用されると、以下のような影響が生じる可能性があります：

• 産業システムの不正制御
• 運用パラメータのデータ流出または改ざん
• 電力供給や水処理などの重要サービスの停止
• 接続されたIT/OTネットワークへの横展開（ラテラルムーブメント）

特に重要インフラ事業者にとって、ダウンタイムやサボタージュは経済的および公共の安全に重大な影響を及ぼす可能性があるため、この脆弱性は深刻な懸念材料です。

推奨対策

INCIBEとHitachi Energyは、影響を受ける組織に対して以下の対策を強く推奨しています：

1. 最新のSuprOSセキュリティパッチを直ちに適用する（Hitachi Energyサポートに問い合わせてガイダンスを受ける）。
2. SuprOSシステムを信頼できないネットワークから隔離し、修正が完了するまで保護する。
3. 不審な活動を監視する（例：ログイン失敗や異常なコマンド実行）。
4. アクセス制御を見直し、ICSアカウントに対して最小権限の原則を徹底する。
5. セキュリティ監査を実施し、OT環境における他のデフォルト認証情報のリスクを特定する。

詳細については、INCIBEの公式アドバイザリを参照してください。

この記事は随時更新されます。新たな情報が入り次第、追加のアップデートを提供します。