掲載日:2016/4/1
平素はデジタル製品をご愛顧いただき、誠にありがとうございます。
弊社ソフトウェアGP-Pro EXにおいて、いくつかの脆弱性の問題が存在することが判明しました。
これらの問題点については、セキュリティ研究団体ZDI(Zero Day Initiative)や米国政府機関 ICS-CERTより、勧告もしくは告知として指摘されております。
この問題について、下記のとおり報告させていただきます。
弊社ソフトウェアGP-Pro EXにおいて、いくつかの脆弱性の問題が存在することが判明しました。
これらの問題点については、セキュリティ研究団体ZDI(Zero Day Initiative)や米国政府機関 ICS-CERTより、勧告もしくは告知として指摘されております。
この問題について、下記のとおり報告させていただきます。
症状の内容
悪意をもったサイバー攻撃(データの書き込み、データの改ざん)を受けた場合、下記製品においてフリーズ状態に陥ったり、強制終了したりすることがあります。ただし、これまでのお客様からのお問い合わせにおいて、脆弱性を起因とする現象は確認しておりません。
対象製品
画面作成ソフトウェア「GP-Pro EX」:
| 製品型式 | EX-ED*、PFXEXEDV*、PFXEXEDLS*、PFXEXGRPLS* |
|---|---|
| 対象バージョン | GP-Pro EX Ver. 1.00.00 ~ Ver. 4.04.000 |
| バージョン確認方法 | [ヘルプ(H)] → [バージョン情報(A)]にてご確認をお願いいたします。 |
対策方法
以下からアップデートモジュールをダウンロード後、インストールしてください。
→ GP-Pro EX アップデートモジュール(Ver. 4.05.000以降)
弊社はこの件に関して、ZDI/ICS-CERT *1に報告済みです。また、サイバー攻撃からユーザー様の装置や制御システムを防護する活動にも取り組んでおります。
→ GP-Pro EX アップデートモジュール(Ver. 4.05.000以降)
弊社はこの件に関して、ZDI/ICS-CERT *1に報告済みです。また、サイバー攻撃からユーザー様の装置や制御システムを防護する活動にも取り組んでおります。
| Detector/Researcher | Contents | |
|---|---|---|
| ICS-CERT | ZDI | |
| ICS-VU-026229 *2 | ZDI-16-006 | Pro-face GP-Pro EX D-Script Heap Buffer Overflow Remote Code Execution Vulnerability |
| ZDI-16-005 | Pro-face GP-Pro EX Out-Of-Bounds Read Information Disclosure Vulnerability | |
| ZDI-16-004 | Pro-face GP-Pro EX Out-Of-Bounds Read Information Disclosure Vulnerability | |
| ZDI-16-003 | Pro-face GP-Pro EX Stack Buffer Overflow Remote Code Execution Vulnerability | |
| ICS-VU-67947 *2 | Pro-face GP-Pro EX Hardcoded credentials on the FTP server that enable access to the project data | |
| Pro-face GP-Pro EX Possible Secondary Authentication Bypass that enable access to the project data | ||
- ICS-CERT(Industrial Control System Cyber Response Team)とは、米国土安全保障省において、サイバー脅威から制御システムの防護を担当する政府機関です。情報セキュリティを担当しているUS-CERTと連携して、制御システムに関する脆弱性情報取り扱いと米国内の社会インフラ/ライフライン/基幹産業の制御システムにおけるインシデント対応サポートを展開しています。
- ICS-CRET非公開(状況確認中)
ZDIのサイトに公開されている資料 http://www.zerodayinitiative.com/advisories/published/
標的型サイバー攻撃軽減対策のお願い
お客様におかれましても攻撃を防御する上で下記のネットワーク環境対策を取り組んでいただければ幸いです。
- サイバー攻撃によるリスクを減らすために、すべてのコントロールシステム装置のネットワーク構成を見直してください。
具体的な例:
<ネットワークの健全化対策>
ネットワークに接続のPCで操業上、不要なPCはありませんか? できるだけリスクを削減するためにPCを整理しましょう。
<PCの健全化対策>
PCの中のアプリケーションで操業に不要なアプリケーションはありませんか?必要なアプリケーションだけが起動するようにホワイトリストで管理しましょう。
- <コントロールシステム・ネットワークのリスク低減対策>
コントロールシステム・ネットワークとビジネス・ネットワークを分離してご使用ください。
- <コントロールシステム・ネットワークの健全化対策>
コントロールシステム・ネットワークにファイアウォールを設定したネットワーク環境でご使用ください。
コントロールシステム・ネットワーク内では、メールなどの操業に直接関係しないものは、流さないでください。
コントロールシステム装置をインターネットから直接アクセスさせないようにしてご使用ください。
- <リモートアクセスのリスク低減対策>
リモートアクセスが必要な場合は、仮想プライベート・ネットワーク(VPN)のような安全を担保した通信をご使用ください。
リモートアクセス許可を必要とする署名パスワードの設定をおこなってください。
お問い合わせ
本件に関しましてご不明な点がございましたら、デジタルお客様センターまでお問い合わせください。