ABB AC500 V3 PLCシステムに重大な脆弱性が複数確認される

ABB AC500 V3 PLCに複数の重大な脆弱性が影響

スペイン・マドリード – 2026年2月25日 – セキュリティ研究者らは、ABBのAC500 V3プログラマブルロジックコントローラ（PLC）に複数の重大な脆弱性を発見しました。これらの脆弱性は、スペイン国家サイバーセキュリティ研究所（INCIBE）によって公表され、産業制御システム（ICS）に重大なリスクをもたらす可能性があります。攻撃者がシステムの完全性を侵害したり、任意のコードを実行したり、重要インフラ分野での運用を妨害する恐れがあります。

技術的詳細

現時点では具体的なCVE IDは公開されていませんが、これらの脆弱性はAC500 V3ファームウェアのコアコンポーネントに影響を及ぼすと報告されています。考えられる攻撃経路には以下が含まれます：

• 認証バイパス – PLCの設定への不正アクセスを可能にします。
• リモートコード実行（RCE） – 攻撃者が影響を受けるデバイス上で悪意のあるコマンドを実行できるようにします。
• サービス拒否（DoS） – システムクラッシュや運用の中断を引き起こします。
• 情報漏洩 – 機密性の高い設定データや認証情報が露出する可能性があります。

これらの脆弱性は、ABBのAC500 V3 PLCに依存する製造、エネルギー、水処理施設などの分野において特に懸念されます。悪用されると、産業プロセスの不正制御、安全システムの障害、連鎖的な運用中断が発生する恐れがあります。

影響分析

これらの脆弱性が悪用されると、以下のような結果を招く可能性があります：

• 運用停止 – 重要な産業プロセスの中断。
• 安全リスク – 安全計装システム（SIS）の機能不全。
• データ漏洩 – 独自のまたは機密性の高い運用データの露出。
• コンプライアンス違反 – 業界規制（例：IEC 62443、NIST SP 800-82）への不適合。

これらの脆弱性の深刻さを考慮し、ABB AC500 V3 PLCを使用している組織は、パッチや緩和策が提供され次第、速やかに適用することが強く推奨されます。INCIBEは、ABBの公式セキュリティアドバイザリを注視するよう呼びかけています。

推奨対策

セキュリティチームは、リスクを軽減するために以下の対策を講じるべきです：

1. 影響を受けるシステムの隔離 – PLCネットワークを企業のIT環境から分離し、露出を制限します。
2. アップデートの監視 – パッチリリースに関するABBの公式セキュリティアドバイザリに従います。
3. ネットワーク制御の実施 – ファイアウォール、VPN、厳格なアクセスポリシーを使用してPLCへのアクセスを制限します。
4. 脆弱性評価の実施 – 不正利用や設定ミスの兆候がないかスキャンします。
5. インシデント対応計画の見直し – ICSセキュリティインシデントに対する備えを確認します。

INCIBEはこのアラートを「高」レベルの深刻度に分類し、早急な対応の必要性を強調しています。CVEの割り当てやパッチの提供に関する詳細情報は、ABBの今後のセキュリティブリテンで発表される予定です。

詳細については、INCIBEのオリジナルアドバイザリを参照してください。