## Hitachi Energy GMS600、OpenSSL タイミング攻撃に脆弱 **Hitachi Energy** の GMS600 製品に、**OpenSSL** コンポーネントの欠陥に起因する脆弱性が特定されました。この脆弱性は **CVE-2022-4304** として追跡されており、攻撃者が機密データを復号化できる可能性があります。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-141-01.json) ### 脆弱性の詳細 根本的な問題は、**OpenSSL** の RSA 復号化実装にあります。攻撃者は、タイミングベースのサイドチャネルを悪用して、Bleichenbacher スタイルの攻撃によりネットワーク経由で平文を復元できる可能性があります。これには、攻撃者が復号化のために多数の試行メッセージを送信し、各メッセージの処理時間を綿密に記録する必要があります。この脆弱性が悪用されると、元の接続に使用されたプレマスターシークレットが復元され、その接続上で送信されたアプリケーションデータが復号化されます。 この脆弱性は、PKCS#1 v1.5、RSA-OEAP、RSASVE を含むすべての RSA パディングモードに影響します。 ### 影響を受ける製品 * **ベンダー:** Hitachi Energy * **製品:** GMS600 * **影響を受けるバージョン:** 1.3.0 および 1.3.1 * **ステータス:** 既知の影響あり ### 技術的詳細 * **CVSS v3 スコア:** 5.9 * **CWE:** [CWE-203 Observable Discrepancy](https://cwe.mitre.org/data/definitions/203.html) ### 影響 この脆弱性が悪用されると、機密性の高いアプリケーションデータが復号化され、通信の機密性が侵害される可能性があります。 ### 緩和策 このアドバイザリの抜粋では、具体的なパッチやアップデートは詳細に記載されていませんが、一般的な緩和策が提供されています。 * **ネットワークセグメンテーション:** ファイアウォールを使用して、プロセス制御システムをインターネットおよびビジネスネットワークから分離します。 * **アクセス制御:** 厳格なイングレス IP の許可リスト登録とトラフィックレート制限を適用します。 * **物理的セキュリティ:** プロセス制御システムを不正な物理アクセスから保護します。 * **セキュアなリモートアクセス:** リモートアクセスが必要な場合は、VPN などのセキュアな方法を利用します（VPN は最新バージョンに更新されていることを確認してください）。 * **セキュリティ意識:** プロセス制御システムでのインターネットサーフィン、インスタントメッセージング、電子メールアクセスを禁止します。 * **マルウェアスキャン:** 制御システムに接続する前に、ポータブルコンピュータおよびリムーバブルストレージメディアをウイルススキャンします。 ### 報告 **Hitachi Energy** の内部チームがこの脆弱性を **CISA** に報告しました。 ### 追加情報 詳細およびサポートについては、製品プロバイダーまたは **Hitachi Energy** のサービス組織にお問い合わせください。連絡先情報は [https://www.hitachienergy.com/contact-us/](https://www.hitachienergy.com/contact-us/) で確認できます。 ### 免責事項 この情報は予告なく変更される可能性があり、**Hitachi Energy** による約束とみなされるべきではありません。 ### 改訂履歴 | 日付 | 改訂 | 要約 | | ---------- | ---- | ----------------------------------------------------------------- | | 2023-06-27 | 1 | 初公開。 | | 2026-04-28 | 2 | 修正済みバージョンを更新。 | | 2026-05-21 | 3 | **Hitachi Energy** PSIRT 8DBD000159 アドバイザリの **CISA** による初回の再発行 |