Festo Didactic MES PCに脆弱なXAMPPスタックがプレインストール:CISAアドバイザリ(ICSA-26-027-02)
Festo DidacticのMES PCに脆弱性のあるXAMPPスタックがプレインストールされている問題をCISAが警告。産業用システムへのリスクと対策を解説。
Festo Didactic MES PCに脆弱なXAMPPスタックがプレインストールされていることが判明
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Festo Didactic SEの製造実行システム(MES)PCに関するセキュリティリスクを指摘するアドバイザリ(ICSA-26-027-02)を発行しました。これらのシステムはWindows 10とともに出荷され、Apache HTTP ServerやMariaDBなどを含むオープンソースソフトウェアスタックであるXAMPPがプレインストールされています。
技術的詳細
XAMPPは、Apache、MariaDB、PHP、Perlをバンドルした広く使用されている開発環境です。開発者にとっては便利ですが、Festo DidacticのMES PCにプレインストールされたスタックは潜在的なセキュリティリスクをもたらします。時間の経過とともに、Apache HTTP ServerやMariaDBなどのサードパーティコンポーネントに脆弱性が発見され、悪用される可能性があり、産業システムがサイバー脅威にさらされる恐れがあります。
CISAのアドバイザリでは、この構成に関連する具体的なエクスプロイトやCVEは特定されていません。しかし、運用技術(OT)環境において不要なソフトウェアが存在することは、特にセキュリティ強化が重要な産業用制御システム(ICS)において、攻撃対象領域を拡大させる要因となります。
影響分析
MES PCにXAMPPがプレインストールされていることにより、以下のリスクが生じます:
- 攻撃対象領域の拡大:ApacheやMariaDBなどの不要なサービスがポートやサービスを公開し、脅威アクターの標的となる可能性があります。
- パッチ管理の課題:サードパーティアプリケーションは、新たに発見された脆弱性に対処するために定期的な更新が必要であり、OTのメンテナンスが複雑化します。
- コンプライアンスの懸念:産業環境ではIEC 62443やNIST SP 800-82などの厳格なセキュリティ基準が遵守されることが多く、許可されていないソフトウェアがコンプライアンス要件に違反する可能性があります。
推奨対策
CISAおよびセキュリティ専門家は、以下の緩和策を推奨しています:
- 不要なソフトウェアの削除または無効化:MESの運用に不要であれば、XAMPPをアンインストールするか、そのコンポーネントを無効化します。
- セキュリティ強化の適用:CISAのICS強化ガイドラインに従い、OT環境を保護します。
- 脆弱性の監視:XAMPPのコンポーネント(Apache、MariaDB)の更新を追跡し、迅速にパッチを適用します。
- ネットワークのセグメンテーション:MES PCを重要なICSネットワークから分離し、攻撃者によるラテラルムーブメントを制限します。
- インストール済みソフトウェアの監査:OTシステムにインストールされているアプリケーションを定期的に確認し、不要なソフトウェアを特定・削除します。
詳細な技術情報については、このアドバイザリに関連するCSAFドキュメントを参照してください。
本アドバイザリは、CISAにより2026年2月7日に公開されました。