重要インフラ分野で広く使用されているSCADA（Supervisory Control and Data Acquisition）プラットフォームである**ScadaBR**バージョン1.2.0に、複数の脆弱性が特定されました。これらの脆弱性が悪用された場合、攻撃者は認証なしでリモートコード実行を実行できる可能性があり、オペレーショナルテクノロジー（OT）環境に重大なリスクをもたらします。 ### 対象バージョン 以下のバージョンの**ScadaBR**が影響を受けます。 * ScadaBR 1.2.0 (**CVE-2026-8602**, **CVE-2026-8603**, **CVE-2026-8604**, **CVE-2026-8605**) ### 脆弱性の内訳 脆弱性には、重要機能における認証の欠如、OSコマンドインジェクション、クロスサイトリクエストフォージェリ（CSRF）、およびハードコードされた認証情報の使用が含まれます。CVSS v3スコアは9.1であり、これらの脆弱性の深刻度を示しています。 | CVSS | Vendor | Equipment | Vulnerabilities | | :----- | :-------- | :-------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | v3 9.1 | ScadaBR | ScadaBR | Missing Authentication for Critical Function, Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection'), Cross-Site Request Forgery (CSRF), Use of Hard-coded Credentials | ### 重要インフラへの影響 **ScadaBR**は、以下のようなさまざまな重要インフラ分野で展開されています。 * Critical Manufacturing * Dams * Chemical * Energy * Water and Wastewater その広範な使用により、これらの脆弱性は世界中の組織にとって重大な懸念事項となっています。 ### 詳細な脆弱性分析 #### CVE-2026-8602: 重要機能における認証の欠如 この脆弱性により、認証されていない攻撃者はSCADAシステムにHTTP GETリクエストを送信し、任意のセンサー値を注入できます。これにより、データの改ざん、誤ったシステム状態、および潜在的に危険な運用上の決定につながる可能性があります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-8602) * **影響を受ける製品:** ScadaBR 1.2.0 * **CWE:** [CWE-306 Missing Authentication for Critical Function](https://cwe.mitre.org/data/definitions/306.html) #### CVE-2026-8604: クロスサイトリクエストフォージェリ（CSRF） CSRF脆弱性により、攻撃者はログイン中のユーザーを悪意のあるウェブページに誘導することで、被害者のセッションを通じて任意の認証済みアクションをトリガーできます。これにより、攻撃者はシステム設定の変更、デバイスの制御、またはその他の不正なアクションを実行できる可能性があります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-8604) * **影響を受ける製品:** ScadaBR 1.2.0 * **CWE:** [CWE-352 Cross-Site Request Forgery (CSRF)](https://cwe.mitre.org/data/definitions/352.html) #### CVE-2026-8605: ハードコードされた認証情報の使用 この脆弱性により、ハードコードされた認証情報が存在するため、攻撃者は管理者としてSCADAシステムにアクセスできます。これにより、システムに対する完全な制御が可能になり、攻撃者はデータ改ざん、システムシャットダウン、マルウェア展開など、あらゆるアクションを実行できるようになります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-8605) * **影響を受ける製品:** ScadaBR 1.2.0 * **CWE:** [CWE-798 Use of Hard-coded Credentials](https://cwe.mitre.org/data/definitions/798.html) ### 緩和策 **CISA**は、悪用のリスクを最小限に抑えるために、以下の防御策を推奨しています。 * すべての制御システムデバイスおよびシステムのネットワーク露出を最小限に抑え、インターネットからアクセスできないようにします。 * 制御システムネットワークとリモートデバイスをファイアウォールの背後に配置し、ビジネスネットワークから分離します。 * リモートアクセスが必要な場合は、Virtual Private Networks（VPN）など、より安全な方法を使用し、利用可能な最新バージョンに更新されていることを確認します。 * 防御策を展開する前に、適切な影響分析とリスク評価を実行します。 * ICS資産のプロアクティブな防御のための推奨サイバーセキュリティ戦略を実装します。 ### 報告と追加情報 疑わしい悪意のあるアクティビティを観測した組織は、確立された内部手順に従い、他のインシデントとの相関分析のために**CISA**に調査結果を報告する必要があります。 追加の緩和ガイダンスと推奨プラクティスは、cisa.gov/icsのICSウェブページで公開されています。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-139-03.json)