AVEVA PI Data Archiveの脆弱性がDoS攻撃を可能に - 産業システムに深刻なリスク

AVEVA PI Data Archiveの脆弱性がDoS攻撃を可能にし、システムを危険にさらす

マドリード（スペイン） - 2026年2月11日 – スペインの国家サイバーセキュリティインシデント対応チームであるINCIBE-CERTは、産業用データ管理プラットフォームとして広く利用されているAVEVA PI Data Archiveにおける重大なサービス拒否（DoS）脆弱性に関する警告を発表した。この脆弱性により、リアルタイムのプロセスデータに依存する製造、エネルギー、ユーティリティなどの分野で、脅威アクターが業務を混乱させる可能性がある。

技術的詳細

INCIBE-CERTからは具体的な技術的詳細は公開されていないが、この脆弱性はサービス拒否（DoS）リスクに分類されている。PI Data Archiveは、産業環境における時系列データの中心的なリポジトリとして機能しており、その可用性は業務の継続性にとって極めて重要である。DoS攻撃が成功した場合、以下のような影響が生じる可能性がある：

• 接続されたシステムにおけるデータ取得の失敗
• プロセス監視の遅延または喪失
• 依存する産業用制御システム（ICS）への波及的影響

現時点で、この脆弱性にはCVE IDは割り当てられていない。INCIBE-CERTは、ユーザーに対してAVEVAの公式セキュリティアドバイザリを参照し、最新の情報や緩和策を確認するよう呼びかけている。

影響分析

運用技術（OT）環境でPI Data Archiveを使用している組織は、以下のリスクにさらされる可能性がある：

• データフローの混乱による業務停止
• 重要なイベントのログ記録が失敗した場合の二次攻撃へのさらなる露出
• データの完全性が求められる規制産業におけるコンプライアンス違反

この脆弱性の深刻度は、PI Data Archiveが産業プロセスにおけるリアルタイム意思決定に果たす役割によって高まっている。長時間の停止は、財務的損失、安全上のリスク、または規制上の罰則を引き起こす可能性がある。

推奨対策

INCIBE-CERTおよびAVEVAは、影響を受ける組織に対して以下の対策を推奨している：

1. AVEVAのセキュリティアドバイザリを監視し、パッチや回避策を確認する。
2. ネットワークセグメンテーションを実施し、PI Data Archiveインスタンスを信頼できないネットワークから隔離する。
3. 侵入検知/防止システム（IDS/IPS）を導入し、異常なトラフィックパターンを検出する。
4. インシデント対応計画を確認し、DoSイベントからの迅速な復旧を確保する。
5. 最小権限の原則を適用し、PI Data Archiveサービスへのアクセスを制限する。

詳細については、INCIBE-CERTのアドバイザリを参照のこと。

本件は進行中のニュースです。新たな情報が入り次第、更新いたします。