シュナイダーエレクトリック製品の重大な脆弱性が産業システムをリスクに晒す

シュナイダーエレクトリック、産業用製品の複数の重大な脆弱性に対処

マドリード（スペイン） – 2026年2月11日 – シュナイダーエレクトリックは、同社のEcoStruxureおよびその他の産業用製品に存在する複数の脆弱性を修正するセキュリティアップデートを公開しました。これらの脆弱性は、攻撃者による任意コードの実行、権限昇格、またはサービス拒否（DoS）状態を引き起こす可能性があります。スペインのINCIBE-CERTによって公表されたこれらの欠陥は、重要インフラ分野で広く導入されているシステムに影響を及ぼします。

脆弱性の技術的詳細

該当する脆弱性には以下が含まれます：

• CVE-2026-XXXX1（CVSS 9.1）：EcoStruxure Operator Terminal Expertにおける入力検証の不備によるリモートコード実行（RCE）の脆弱性。
• CVE-2026-XXXX2（CVSS 8.8）：EcoStruxure Power Monitoring Expertにおける不適切なファイルパーミッションに起因する権限昇格の脆弱性。
• CVE-2026-XXXX3（CVSS 7.5）：シュナイダーエレクトリックのModiconコントローラーにおける、不正なネットワークパケットによって引き起こされるDoS脆弱性。
• CVE-2026-XXXX4（CVSS 6.5）：EcoStruxure Building Operationにおける機密構成データを露出させる情報漏洩の脆弱性。

これらの脆弱性は、シュナイダーエレクトリックの以下のソフトウェアおよびファームウェアの複数バージョンに影響を及ぼします：

• EcoStruxure Operator Terminal Expert（バージョン3.2.1より前）
• EcoStruxure Power Monitoring Expert（バージョン9.0.1より前）
• Modicon M580およびM340コントローラー（ファームウェアバージョン3.10より前）
• EcoStruxure Building Operation（バージョン4.0.3より前）

影響分析

これらの脆弱性が悪用されると、産業環境において以下のような深刻な影響が生じる可能性があります：

• 運用技術（OT）システムの不正制御：物理的な損害や安全リスクを引き起こす可能性。
• 重要サービスの停止：電力供給、ビル管理、製造プロセスなどの機能が阻害される恐れ。
• データ漏洩：機密性の高い運用データや構成データが攻撃者に露出するリスク。

エネルギー、水道、製造業などの分野でシュナイダーエレクトリック製品が広く使用されていることを考慮すると、これらの脆弱性は重要インフラに重大なリスクをもたらします。

セキュリティチームへの推奨事項

シュナイダーエレクトリックは、影響を受ける全製品に対するパッチを公開しています。セキュリティチームは以下の対策を講じることが推奨されます：

1. 直ちにアップデートを適用し、これらの脆弱性への露出を軽減。
2. 脆弱なシステムを信頼できないネットワークから隔離し、パッチが適用されるまで保護。
3. 不審な活動を監視、特にシュナイダーエレクトリック製品が導入されているOT環境において。
4. アクセス制御を見直し、権限を制限して攻撃対象領域を縮小。
5. リスク評価を実施し、産業運用への潜在的な影響を評価。

詳細なパッチ情報については、シュナイダーエレクトリックの公式セキュリティアドバイザリを参照してください。

INCIBE-CERTはこのアラートを高リスクに分類し、組織に対して悪用を防ぐための修正作業を優先するよう強く要請しています。