デルタ電子DIAViewの重大な脆弱性が産業システムを攻撃リスクに晒す

デルタ電子DIAViewの重大な脆弱性に対する緊急パッチ適用の要請

マドリード（スペイン） – 2026年1月19日 – スペイン国家サイバーセキュリティ研究所（INCIBE-CERT）は、デルタ電子のDIAViewソフトウェアに存在する複数の高リスク脆弱性に関する緊急警告を発表しました。DIAViewは産業オートメーション分野で広く利用されているソリューションですが、これらの脆弱性が悪用されると、攻撃者によるリモートコード実行、権限昇格、または重要インフラ環境における機密データへのアクセスが可能となります。

脆弱性の技術的詳細

影響を受けるのは、DIAView バージョン1.2.1.0より前のすべてのバージョンで、以下の重大な問題が確認されています：

• CVE-2023-5932：不適切な入力検証（CVSS 9.8） – 巧妙に細工されたネットワークパケットを介して、リモートから任意のコードを実行される可能性があります。
• CVE-2023-5933：パストラバーサル（CVSS 8.6） – 不正なファイルアクセスやデータ流出のリスクがあります。
• CVE-2023-5934：安全でないデシリアライゼーション（CVSS 8.1） – リモートコード実行（RCE）やサービス拒否（DoS）状態を引き起こす可能性があります。
• CVE-2023-5935：ハードコードされた認証情報（CVSS 7.5） – デフォルトの認証情報が露出し、不正アクセスを許す恐れがあります。

これらの脆弱性は、DIAViewソフトウェアにおける入力のサニタイズ不足、不適切なアクセス制御、および安全でないコーディングプラクティスに起因しています。DIAViewは、製造業、エネルギー、水処理施設などで広く導入されています。

影響分析

これらの脆弱性が悪用されると、以下のような深刻な影響が生じる可能性があります：

• リモートコード実行（RCE） – 影響を受けるシステム上で産業プロセスを完全に制御される恐れがあります。
• 不正なデータアクセス – 機密性の高い運用データや設定ファイルが漏洩するリスクがあります。
• 重要サービスの停止 – 産業環境における安全性の問題を引き起こす可能性があります。
• OTネットワーク内での横展開 – 攻撃対象領域が拡大し、さらなる被害をもたらす恐れがあります。

DIAViewはSCADAおよびHMIシステムと統合されているため、リスクはデータ侵害にとどまらず、物理的な運用の混乱にまで及ぶ可能性があります。

推奨される対応策

INCIBE-CERTは、DIAViewを使用している組織に対し、以下の対応を強く推奨しています：

1. 最新のパッチ（v1.2.1.0以降）を直ちに適用し、確認されたすべての脆弱性を緩和してください。
2. 影響を受けるシステムを信頼できないネットワークから隔離し、パッチが適用されるまで保護してください。
3. 不審な活動を監視し、特に異常なネットワークトラフィックや不正アクセスの試みに注意してください。
4. 認証情報の見直しとローテーションを行い、デフォルトまたはハードコードされたパスワードが使用されていないことを確認してください。
5. 産業用制御システム（ICS）のセキュリティ監査を実施し、さらなるリスクがないか確認してください。

デルタ電子は、パッチの詳細と緩和策に関するセキュリティアドバイザリを公開しています（リンク）。これらの脆弱性は高リスクで積極的な悪用の可能性があるため、組織は更新を優先的に行うことが求められています。

詳細については、INCIBE-CERTのアドバイザリを参照してください。