シーメンス SIMATIC・SIPLUS製品がS7プロトコルの脆弱性によりDoS攻撃のリスクに曝される (ICSA-26-015-04)

シーメンス ET 200SPデバイスに深刻なDoS脆弱性の影響

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Siemens SIMATIC ET 200SPおよびSIPLUS製品に存在するサービス拒否（DoS）脆弱性を公表しました。この脆弱性はICSA-26-015-04として追跡されており、攻撃者が特別に細工した**S7プロトコルのDisconnect Request（COTP DR TPDU）**を送信することで、デバイスを応答不能にする可能性があります。影響を受けるデバイスは、手動での電源再投入が必要となります。

技術的詳細

この脆弱性は、S7プロトコルで広く使用されている産業用通信標準において、Connection-Oriented Transport Protocol（COTP）のDisconnect Request TPDUの不適切な処理に起因します。攻撃者は、対象デバイスへのネットワークアクセスを持つ場合、有効だが悪意のあるDisconnect Requestを送信することで、デバイスを応答不能状態に陥らせることが可能です。認証は不要です。

シーメンスはこの問題を緩和するためのファームウェアアップデートを公開しています。ユーザーは速やかにこれらのパッチを適用することが強く推奨されます。詳細な技術仕様とパッチ情報については、**CSAFアドバイザリ**を参照してください。

影響分析

• 運用の混乱：攻撃が成功した場合、特にシーメンスET 200SPをプロセス制御に使用している産業環境において、計画外のダウンタイムが発生する可能性があります。
• 物理的影響：製造やエネルギーなどの重要インフラでは、デバイスの応答不能が安全リスクや生産停止につながる恐れがあります。
• 悪用の可能性：現時点では積極的な悪用は報告されていませんが、攻撃の低い複雑性により、日和見的な標的となるリスクが高まっています。

セキュリティチーム向け推奨事項

1. シーメンスのパッチを直ちに適用：影響を受けるSIMATIC ET 200SPおよびSIPLUSデバイスを最新のファームウェアバージョンにアップデートしてください。バージョン固有のガイダンスについては、シーメンスの公式アドバイザリを参照してください。
2. ネットワークのセグメンテーション：OTネットワークをIT環境から分離し、攻撃者への露出を制限してください。
3. S7プロトコルトラフィックの監視：異常なDisconnect Requestを検出するために、**侵入検知/防止システム（IDS/IPS）**を導入してください。
4. インシデント対応計画の策定：影響を受けるデバイスの手動電源再投入手順を含む復旧手順を確保してください。
5. CISAのアドバイザリを確認：最新情報や追加の緩和策については、**CISAのオリジナルアドバイザリ**を参照してください。

産業用制御システム（ICS）を管理するセキュリティチームは、このパッチを高い影響度と低い攻撃難易度を考慮し、優先的に適用すべきです。