ジョンソン・コントロールズ Frick Quantum HD産業用制御システムに重大な脆弱性を確認

ジョンソン・コントロールズ Frick Quantum HD産業用制御システムに重大な脆弱性を確認

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ジョンソン・コントロールズ株式会社のFrick Quantum HD産業用制御システムに複数の高リスク脆弱性が存在することを警告するアドバイザリを発表しました。これらの脆弱性は2026年2月27日に公開され、攻撃者が遠隔からコードを実行したり、サービス拒否（DoS）状態を引き起こしたり、重要インフラ環境への不正アクセスを可能にする恐れがあります。

脆弱性の技術的詳細

これらの脆弱性は、産業分野のHVACおよび冷凍制御アプリケーションで広く使用されているFrick Quantum HDシステムに影響を及ぼします。確認された脆弱性は以下の通りです：

• CVE-2026-XXXX1 (CVSS 9.8) – 遠隔コード実行（RCE）：システムのウェブインターフェースにおけるバッファオーバーフローの脆弱性により、認証されていない攻撃者が昇格された権限で任意のコードを実行できる可能性があります。
• CVE-2026-XXXX2 (CVSS 8.6) – サービス拒否（DoS）：制御プロトコルパーサーにおける不適切な入力検証により、攻撃者がシステムをクラッシュさせ、運用を妨害する可能性があります。
• CVE-2026-XXXX3 (CVSS 7.5) – 認証バイパス：セッション管理メカニズムの欠陥により、管理者機能への不正アクセスが許可される恐れがあります。

これらの脆弱性は、影響を受けるファームウェアバージョンにおける入力サニタイズの不足、不安全なメモリ処理、脆弱な認証メカニズムに起因しています。

影響分析

これらの脆弱性が悪用されると、産業環境に深刻な影響を及ぼす可能性があります。具体的には以下の通りです：

• 運用の中断：DoS攻撃が成功すると、冷凍またはHVACシステムが停止し、機器の損傷や安全上の危険を引き起こす可能性があります。
• 不正な制御：RCE脆弱性により、攻撃者がシステム設定を操作し、物理的な損傷や安全リスクを引き起こす恐れがあります。
• ネットワーク内の横移動：侵害されたQuantum HDシステムが、産業用制御システム（ICS）環境におけるさらなるネットワーク侵入の足がかりとなる可能性があります。

ジョンソン・コントロールズは、これらの脆弱性が実際に悪用された報告はまだないとしていますが、その高い深刻度から、資産所有者は直ちに対応する必要があります。

緩和策と推奨事項

CISAおよびジョンソン・コントロールズは、影響を受ける組織に対して以下の対策を講じるよう強く推奨しています：

1. 即時のパッチ適用：ジョンソン・コントロールズはこれらの脆弱性に対処するファームウェアアップデートをリリースしています。資産所有者は、影響を受けるQuantum HDシステムのパッチ適用を優先してください。
2. ネットワークのセグメンテーション：Quantum HDシステムを企業ネットワークから分離し、アクセスを許可された担当者のみに制限します。
3. 不審な活動の監視：侵入検知システム（IDS）を導入し、異常なトラフィックや不正アクセスの試みを検出します。
4. 不要なサービスの無効化：使用していないウェブインターフェースやリモートアクセス機能を無効にし、攻撃対象領域を最小限に抑えます。
5. CISAアドバイザリの確認：詳細な緩和策については、CISA公式アラート（ICSA-26-058-01）を参照してください。

Frick Quantum HDシステムを使用している組織は、自組織のリスクを評価し、パッチ適用が直ちに行えない場合には代替的な制御策を実施する必要があります。