新たに開示された脆弱性が、**三菱電機**のCNCシリーズの複数のバージョンに影響を与え、サービス拒否（DoS）状態を引き起こす可能性があります。この脆弱性は**CVE-2025-2399**として追跡されており、入力における特定のインデックス、位置、またはオフセットの不適切な検証に起因します。 ### 脆弱性の詳細 **サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）**は、この脆弱性の詳細を記載した勧告を発表しました。この脆弱性を悪用することに成功したリモート攻撃者は、TCPポート683に特別に細工されたパケットを送信することで、境界外読み取りをトリガーする可能性があります。 具体的には、この脆弱性はCWE-1285「入力における指定されたインデックス、位置、またはオフセットの不適切な検証」として分類されています。 ### 影響を受ける製品 以下のバージョンの三菱電機CNCシリーズが影響を受けます。 * M800VW (BND-2051W000) <=BB * M800VS (BND-2052W000) <=BB * M80V (BND-2053W000) <=BB * M80VW (BND-2054W000) <=BB * M800W (BND-2005W000) <=FM * M800S (BND-2006W000) <=FM * M80 (BND-2007W000) <=FM * M80W (BND-2008W000) <=FM * E80 (BND-2009W000) <=FM * C80 (BND-2036W000) vers:all/* * M750VW (BND-1015W002) vers:all/* * M730VW (BND-1015W000) vers:all/* * M720VW (BND-1015W000) vers:all/* * M750VS (BND-1012W002) vers:all/* * M730VS (BND-1012W000-**) vers:all/* * M720VS (BND-1012W000) vers:all/* * M70V (BND-1018W000) vers:all/* * E70 (BND-1022W000) vers:all/* * NC Trainer2 (BND-1802W000) vers:all/* * NC Trainer2 plus (BND-1803W000) vers:all/* ### 影響 この脆弱性が悪用された場合、サービス拒否状態が発生し、影響を受けるCNCシステムに依存する運用が中断される可能性があります。 ### 緩和策 **CISA**は以下の緩和策を推奨しています。 * すべての制御システムデバイスおよびシステムのネットワーク公開を最小限に抑え、インターネットからアクセスできないようにします。 * 制御システムネットワークおよびリモートデバイスをファイアウォールで保護し、ビジネスネットワークから分離します。 * リモートアクセスが必要な場合は、VPNなどの安全な方法を使用し、VPNが最新バージョンに更新されていることを確認します。 * 防御策を展開する前に、適切な影響分析とリスク評価を実施します。 ### 追加リソース 不正なアクティビティが疑われる兆候を観察した組織は、確立された内部手順に従い、CISAに調査結果を報告してください。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-078-05.json)