三菱電機FREQSHIP-miniソフトウェアにおける重大なリモートコード実行（RCE）脆弱性

三菱電機FREQSHIP-miniにリモートコード実行（RCE）の脆弱性が確認される

スペイン・マドリード – 2026年2月3日 – スペイン国家サイバーセキュリティ研究所（INCIBE）は、三菱電機のFREQSHIP-miniソフトウェアに存在する重大なリモートコード実行（RCE）脆弱性に関する緊急セキュリティアドバイザリを発表しました。FREQSHIP-miniは、産業環境における三菱電機製インバータの設定および管理に使用されるツールです。

技術的詳細

公開されたアドバイザリでは、技術的な詳細は限定的ですが、この脆弱性（現時点ではCVE IDは未割り当て）により、認証されていない攻撃者が、影響を受けるバージョンのFREQSHIP-miniを実行しているシステム上で任意のコードをリモートで実行できる可能性があります。この欠陥は、産業用制御システム（ICS）ソフトウェアにおいてRCE攻撃の一般的な要因である、不適切な入力検証やメモリ破壊の問題に起因している可能性があります。

三菱電機のインバータは、製造、エネルギー、自動化分野で広く導入されており、重要インフラにおけるモーターの速度やトルクを制御しています。この脆弱性が悪用されると、攻撃者は操業を妨害したり、産業プロセスを操作したり、さらにはOT（Operational Technology）ネットワーク全体への足がかりを得ることが可能となります。

影響分析

この脆弱性の深刻度は、以下の要因により高まっています：

• リモートでの悪用可能性：攻撃者は事前の認証なしにこの脆弱性を悪用できるため、大規模な攻撃のリスクが増大します。
• 産業環境での導入：FREQSHIP-miniは、ダウンタイムやインバータの操作が物理的な損害、安全上の危険、または生産停止につながる可能性のある環境で使用されています。
• 横展開のリスク：侵害されたシステムは、攻撃者が接続されたITやOTネットワークに侵入するための足がかりとなり、攻撃対象領域が拡大する可能性があります。

推奨対策

INCIBEと三菱電機は、FREQSHIP-miniを使用している組織に対し、以下の緊急対策を講じるよう強く要請しています：

1. パッチの適用：三菱電機は近日中にセキュリティアップデートをリリースする予定です。ベンダーの公式セキュリティポータルを監視し、速やかにパッチを適用してください。
2. ネットワークの分離：FREQSHIP-miniを実行しているシステムを、企業ネットワークやインターネットから分離し、露出を最小限に抑えてください。
3. アクセス制御：ソフトウェアへのアクセスを認可された担当者のみに制限し、可能な限り多要素認証（MFA）を導入してください。
4. 不正アクセスの監視：FREQSHIP-miniを標的とした不審な活動を検出するため、侵入検知・防御システム（IDS/IPS）を導入してください。
5. インシデント対応：悪用された場合に備え、封じ込めおよび復旧計画を準備し、重要な設定のバックアップ手順を含めてください。

この脆弱性は産業オペレーションに重大な影響を与える可能性があるため、セキュリティチームは優先的に対応する必要があります。今後の調査の進展に伴い、CVEの割り当てや概念実証（PoC）エクスプロイトの詳細が明らかになる可能性があります。

詳細については、INCIBEのオリジナルアドバイザリを参照してください。