GE Vernova Enervista UR Setupの重大な脆弱性、緊急パッチ適用が必要

GE Vernova Enervista UR Setupに複数の重大な脆弱性が発見される

マドリード（スペイン） – 2026年2月18日 – セキュリティ研究者らは、GE VernovaのEnervista UR Setupソフトウェアに複数の高リスク脆弱性を発見しました。このソフトウェアは、電力網管理ツールとして広く利用されています。脆弱性は、スペインのINCIBE-CERTおよびCISAによって公表され、脅威アクターが重要な電力インフラに対して遠隔攻撃を実行する可能性があります。

脆弱性の技術的詳細

現時点では具体的なCVE IDは公開されていませんが、脆弱性は以下のカテゴリに分類されます：

• 不適切な入力値検証 (CWE-20)
• パストラバーサル (CWE-22)
• 安全でないデシリアライゼーション (CWE-502)
• ハードコードされた認証情報の使用 (CWE-798)

これらの脆弱性は、Enervista UR Setup バージョン8.10より前に影響を及ぼし、電気変電所で使用されるUniversal Relay（UR）保護装置の設定および監視に利用されています。悪用されると、不正なシステムアクセス、データ改ざん、または運用技術（OT）環境におけるサービス拒否（DoS）状態を引き起こす可能性があります。

影響分析

これらの脆弱性は、特に以下の分野で電力事業者に重大なリスクをもたらします：

• GE VernovaのUR装置に依存する電気変電所
• Enervista UR Setupと統合された産業用制御システム（ICS）
• 遠隔アクセスが電力網の運用を妨害する可能性のある重要インフラ

攻撃者がこれらの脆弱性を悪用すると、リレー設定の改ざん、保護スキームの変更、または電力供給の停止が可能となり、エネルギーグリッドにおける連鎖的な障害を引き起こす恐れがあります。

セキュリティチーム向け推奨対策

1. 緊急パッチの適用 – GE Vernovaが推奨するEnervista UR Setup v8.10以降にアップグレードしてください。
2. 影響を受けるシステムの隔離 – パッチが適用されるまで、脆弱なインスタンスへのネットワークアクセスを制限してください。
3. 不審な活動の監視 – **OT専用の侵入検知システム（IDS）**を導入し、異常な挙動を検出してください。
4. アクセス制御の見直し – ユーザー権限を監査し、可能な限りハードコードされた認証情報を削除してください。
5. CISAおよびINCIBEのガイダンスに従う – 公式勧告（INCIBE-CERT、CISA）を参照し、緩和策を実施してください。

エネルギー分野のセキュリティチームは、パッチ適用を優先し、監視を強化することで、これらの重大な脆弱性の悪用を防ぐことが求められています。