概要
三菱電機 MELSEC-Q シリーズ および MELSEC-L シリーズ の CPU モジュール に、ポインタ スケーリング の 不備(CWE-468: Incorrect Pointer Scaling)に 起因 する 脆弱性 が 存在 します。リモート の 認証 されていない 攻撃者 が、特別 に 細工 された パケット を 送信 する こと で、対象 製品 の 任意 の 情報 を 読み取る、または 悪意 の ある コード を 実行 する 可能性 が あります。
本脆弱性 は 産業用 制御 システム(ICS)向け の PLC に 影響 する ため、製造 現場 や インフラ 環境 での 影響 が 懸念 されます。同時期 に 報告 された CVE-2024-0803、CVE-2024-1915、CVE-2024-1916、CVE-2024-1917 も 同じ 製品 に 影響 する 関連 脆弱性 です。CISA ICS-CERT からも アドバイザリ(ICSA-24-074-14)が 発行 されて おり、速やかな 対応 が 推奨 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8 |
| 深刻度 | CRITICAL |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権 | 不要 |
| CWE | CWE-468(Incorrect Pointer Scaling) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響バージョン |
|---|---|---|
| MELSEC-Q シリーズ CPU モジュール | 三菱電機 | アドバイザリ 参照 |
| MELSEC-L シリーズ CPU モジュール | 三菱電機 | アドバイザリ 参照 |
修正 バージョン と 回避策
- 修正: 三菱電機 の PSIRT アドバイザリ(2023-024)を 参照 し、該当 する ファームウェア の アップデート を 適用 して ください
- 回避策: ネットワーク セグメンテーション により PLC への アクセス を 制限 する。ファイアウォール で 不要 な リモート アクセス を 遮断 する
- 補足: 同一 製品 に 影響 する CVE-2024-0803、CVE-2024-1915、CVE-2024-1916、CVE-2024-1917 も あわせて 対応 を 推奨 します
関連リンク
データソース: NVD (NIST), JVN (JPCERT/CC), CISA ICS-CERT AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。