Siemens COMOSの脆弱性が産業システムをRCEおよびDoS攻撃のリスクに晒す

Siemens COMOSの脆弱性が産業システムへのリモート攻撃を可能に

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Siemens COMOSに複数の重大な脆弱性が存在することを公表しました。Siemens COMOSは、プラントエンジニアリングや運用管理に広く使用されている産業用ソフトウェアプラットフォームです。これらの脆弱性により、攻撃者が任意コード実行（RCE）、サービス妨害（DoS）攻撃の発生、機密データの窃取、またはアクセス制御の回避が可能となる恐れがあります。

脆弱性の技術的詳細

CISAのアドバイザリ（ICSA-26-043-03）では、個別のCVE IDは明示されていませんが、COMOSの導入環境における深刻なリスクが強調されています。主な脆弱性は以下の通りです：

• リモートコード実行（RCE）：攻撃者が脆弱性を悪用し、影響を受けるシステム上で悪意のあるコードを実行する可能性があります。
• サービス妨害（DoS）：脆弱性により、COMOSサービスがクラッシュしたり、産業運用に支障をきたす恐れがあります。
• データ漏洩：不正アクセスにより、プラントの機密データや知的財産が盗まれるリスクがあります。
• アクセス制御の不備：認証や認可メカニズムの弱点により、権限昇格が可能となる場合があります。

Siemensは、影響を受けるCOMOS製品向けにパッチバージョンを公開し、組織に対して直ちにアップデートを適用するよう呼びかけています。完全な**Common Security Advisory Framework（CSAF）**ドキュメントは、CISAのGitHubリポジトリから入手可能です。

影響分析

COMOSは、オペレーショナルテクノロジー（OT）環境において重要なコンポーネントであり、特にエネルギー、製造、化学プロセスなどの分野で広く利用されています。これらの脆弱性が悪用されると、以下のような影響が生じる可能性があります：

• 運用の中断：DoS攻撃や不正なシステム変更により、業務が停止する恐れがあります。
• 安全性のリスク：攻撃者が産業プロセスを操作することで、安全上の問題が発生する可能性があります。
• データ漏洩：独自の設計、構成、またはコンプライアンスに関わる機密情報が流出するリスクがあります。

COMOSは産業用制御システム（ICS）と統合されているため、これらの脆弱性はCOMOSをプラント管理に使用している組織にとって高リスクとなります。

セキュリティチーム向け推奨事項

1. Siemensのパッチを直ちに適用：既知の脆弱性を軽減するため、最新のCOMOSバージョンにアップデートしてください。
2. 重要システムの隔離：OTネットワークをセグメント化し、侵害が発生した場合の横方向の移動を制限します。
3. 攻撃の監視：不審な活動を検知するため、侵入検知・防御システム（IDS/IPS）を導入します。
4. アクセス制御の見直し：厳格な認証と最小権限の原則を徹底します。
5. 脆弱性評価の実施：COMOSの導入環境をスキャンし、侵害や設定ミスの兆候を確認します。

詳細については、CISAの公式アドバイザリを参照してください。