## Hitachi Energy Ellipse、Jasper Reportの不具合によりリモートコード実行の脆弱性に **Hitachi Energy**は、同社のEllipse製品（バージョン9.0.50およびそれ以前）に影響する重大な脆弱性に対応しています。この脆弱性は、Ellipse内でカスタムレポートを生成するために使用されるサードパーティ製ライブラリである**Jasper Report**コンポーネントに存在し、**CVE-2025-10492**として特定されています。この脆弱性により、リモートコード実行（RCE）攻撃が可能になる可能性があります。 ### 脆弱性の詳細 この脆弱性は、**Jaspersoft Library**におけるJavaのデシリアライゼーションの問題です。外部から提供されたデータを適切に処理しないことにより、攻撃者は影響を受けるライブラリを使用しているシステム上で任意のコードをリモートで実行できる可能性があります。これは、重要インフラストラクチャソフトウェア内のサードパーティ製コンポーネントを注意深く検証し、保護することの重要性を浮き彫りにしています。 * **CVE:** CVE-2025-10492 * **影響を受ける製品:** Hitachi Energy Ellipse バージョン9.0.50以前 * **CWE:** CWE-502 Untrusted Dataのデシリアライゼーション * **CVSS v3 スコア:** 9.8 (Critical) ### 影響 この脆弱性が悪用された場合、攻撃者は影響を受けるシステムを完全に制御できるようになる可能性があります。**Hitachi Energy Ellipse**は、特に重要製造業などの重要インフラストラクチャ分野で展開されているため、潜在的な影響は甚大です。 ### 緩和策 **Hitachi Energy**は、リスクを軽減するための即時対応を推奨しています。この抜粋では具体的な緩和策は詳述されていませんが、アドバイザリでは、詳細なガイダンスについては、完全なアドバイザリ文書（下記リンク参照）内の「推奨される即時対応」セクションを参照するようユーザーに促しています。 一般的な緩和策には以下が含まれます。 * すべての制御システムデバイスのネットワーク露出を最小限に抑える。 * 制御システムネットワークをファイアウォールで保護し、ビジネスネットワークから隔離する。 * VPNなどの安全なリモートアクセス方法を使用する（VPN自体が最新であることを確認する）。 * 制御システムに接続する前に、ポータブルコンピュータやリムーバブルストレージメディアをウイルススキャンする。 * 適切なパスワードポリシーを施行する。 ### 推奨事項 **CISA（Cybersecurity and Infrastructure Security Agency）**は、ユーザーに対し、悪用のリスクを最小限に抑えるための防御策を講じることを強く推奨しています。これには以下が含まれます。 * 制御システムデバイスがインターネットからアクセスできないことを確認する。 * 堅牢なファイアウォール構成を実装する。 * 防御策を展開する前に、徹底的な影響分析とリスク評価を実施する。 疑わしい悪意のあるアクティビティを観測した組織は、確立された内部手順に従い、CISAに調査結果を報告する必要があります。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-092-03.json) ### 謝辞 **Hitachi Energy** PSIRTがこの脆弱性をCISAに報告しました。