## Universal Robots Polyscope 5 で重大な脆弱性が発見される これらの脆弱性が悪用された場合、攻撃者は認証をバイパスしてコードを実行できるようになる可能性があります。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-134-17.json) ### 対象バージョン **Universal Robots Polyscope 5** の以下のバージョンが影響を受けます。 * Polyscope 5 <5.25.1 ### 脆弱性の詳細 最も重大な脆弱性は、OS コマンドで使用される特殊文字の不適切な無効化（'OS コマンドインジェクション'）です。 | CVSS | ベンダー | 機器 | 脆弱性 | | :----- | :----------------- | :------------------------ | :--------------------------------------------------------------------- | | v3 9.8 | **Universal Robots** | **Universal Robots Polyscope 5** | OS コマンドで使用される特殊文字の不適切な無効化（'OS コマンドインジェクション'） | ### 背景 * **重要インフラセクター:** 重要製造業 * **展開されている国/地域:** 世界中 * **本社所在地:** デンマーク ### 謝辞 **Claroty Team82** の **Vera Mens** がこれらの脆弱性を **CISA** に報告しました。 ### 推奨される対策 **CISA** は、これらの脆弱性の悪用リスクを最小限に抑えるために、ユーザーに対策を講じることを推奨しています。主な推奨事項は以下のとおりです。 * すべての制御システムデバイスおよび/またはシステムのネットワーク露出を最小限に抑え、インターネットからアクセスできないようにします。 * 制御システムネットワークとリモートデバイスをファイアウォールで保護し、ビジネスネットワークから分離します。 * リモートアクセスが必要な場合は、Virtual Private Network (**VPN**) など、より安全な方法を使用します。ただし、**VPN** 自体にも脆弱性が存在する可能性があるため、利用可能な最新バージョンに更新し、**VPN** は接続されているデバイスと同等のセキュリティであることを認識してください。 **CISA** は、組織に対し、防御策を展開する前に適切な影響分析とリスク評価を実施することを再度通知します。 **CISA** はまた、cisa.gov/ics の ICS Web ページで、制御システムセキュリティの推奨プラクティスに関するセクションを提供しています。サイバー防御のベストプラクティスを詳述したいくつかの **CISA** 製品が、閲覧およびダウンロード可能であり、これには「Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies」が含まれます。 **CISA** は、組織に対し、ICS アセットのプロアクティブな防御のために、推奨されるサイバーセキュリティ戦略を実装することを奨励しています。 追加の緩和ガイダンスと推奨プラクティスは、cisa.gov/ics の ICS Web ページで、技術情報ペーパー「ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies」で公開されています。 疑わしい悪意のあるアクティビティを観測した組織は、確立された社内手順に従い、他のインシデントとの相関分析のために **CISA** に調査結果を報告する必要があります。 **CISA** はまた、ユーザーがソーシャルエンジニアリング攻撃から身を守るために、以下の対策を講じることを推奨しています。 * 要求されていない電子メールメッセージ内のウェブリンクをクリックしたり、添付ファイルを開いたりしないでください。 * 電子メール詐欺を回避する方法については、「Recognizing and Avoiding Email Scams」を参照してください。 * ソーシャルエンジニアリング攻撃については、「Avoiding Social Engineering and Phishing Attacks」を参照してください。 現時点では、これらの脆弱性を標的とした既知の公開された悪用事例は **CISA** に報告されていません。 ### 改訂履歴 * **初版発行日:** 2026-05-14 | 日付 | 改訂 | 要約 | | :--------- | :--- | :-------------- | | 2026-05-14 | 1 | 初版発行 |