産業オートメーション大手のB&Rは、同社のPPT30オペレーティングシステム、特にOPC-UAサーバーに影響を与える重大な脆弱性に関するアドバイザリを発行しました。CVE-2025-11482として追跡されているこの脆弱性は、「制限またはスロットリングなしのリソース割り当て」（CWE-770）の問題であり、永続的なサービス拒否につながる可能性があります。 ### 脆弱性：CVE-2025-11482 CVE-2025-11482は、認証されておらずネットワーク経由でアクセス可能な攻撃者が、影響を受けるB&R PPT30オペレーティングシステム製品のOPC-UAサーバーをアクセス不能にすることを可能にします。この脆弱性は、サーバーのリソース処理が不十分であることに起因しており、攻撃者は特定の悪意のあるメッセージを送信することでリソースを枯渇させることができます。これにより、正規のユーザーがサービスと対話できなくなり、重要な運用機能が事実上停止します。 ### 影響を受けるシステムと広範な影響 この脆弱性は、特にバージョン1.8.0（バージョン1.8.0自体を含む）より前のB&R PPT30オペレーティングシステムのバージョンに影響します。PPT30オペレーティングシステムは、世界中の重要セクターに展開されているB&R PPT30ハードウェア製品のファームウェアとして機能します。これらには以下が含まれます。 * 商業施設 * 重要製造業 * エネルギー * 交通システム * 上下水道 これらの重要インフラセクターでの広範な展開は、攻撃が成功した場合に深刻な結果をもたらし、不可欠なサービスと運用を混乱させる可能性があることを意味します。 ### 攻撃シナリオ 攻撃者は、影響を受けるシステムノードへのネットワークアクセスを取得することで、CVE-2025-11482を悪用する可能性があります。これは、設定ミスまたは侵害されたファイアウォールを介した直接的なアクセス、あるいはシステムノードへの悪意のあるソフトウェアのインストールやネットワークへの感染によって達成される可能性があります。ネットワークアクセスが確立されると、攻撃者は特別に細工されたメッセージを送信してリソース枯渇を引き起こし、OPC-UAサーバーに応答不能にさせることができます。 ### 強固な防御のための推奨事項 ABB PSIRTから脆弱性レポートを受け取ったCISAは、このようなリスクを軽減するために、産業制御システム（ICS）に対する堅牢なサイバーセキュリティ戦略の実施の重要性を強調しています。ITセキュリティ担当者およびB&R PPT30オペレーティングシステムデバイスを運用する組織は、以下の防御策を優先する必要があります。 * **ネットワーク露出の最小化**: すべての制御システムデバイスおよびシステムがインターネットから直接アクセスできないことを確認してください。ネットワーク露出を運用に必要な絶対最小限に制限してください。 * **ネットワークセグメンテーション**: 制御システムネットワークおよびリモートデバイスをファイアウォールの背後に配置し、より広範なビジネスネットワークから分離してください。これにより、攻撃者の横方向の移動を妨げる、防御の深層化戦略が構築されます。 * **セキュアなリモートアクセス**: リモートアクセスが不可欠な場合は、Virtual Private Network（VPN）などのセキュアな方法を利用してください。極めて重要なのは、VPNが常に最新バージョンに更新されていることを確認し、そのセキュリティが接続されているデバイスのセキュリティに依存することを認識することです。 * **物理的保護**: プロセス制御システムに対する不正な直接アクセスを防ぐために、物理的なセキュリティ対策を実施してください。 * **影響分析とリスク評価**: 運用への潜在的な影響を理解するために、防御策を展開する前に徹底的な影響分析とリスク評価を実施してください。 * **プロアクティブな監視と報告**: 疑わしい悪意のあるアクティビティについて、ICS資産を継続的に監視してください。そのようなインシデントを観察した組織は、確立された内部手順に従い、広範な相関関係と対応努力のためにCISAに調査結果を報告する必要があります。 B&Rはこの脆弱性を独自のセキュリティ分析を通じて発見し、アドバイザリの発行時点では、実際の攻撃の報告は受けていませんでした。しかし、プロアクティブなパッチ適用と推奨されるセキュリティプラクティスの遵守は、この脅威および類似の脅威から重要インフラを保護するために不可欠です。