.webp)
産業用制御システムは、可用性、安全性、信頼性が絶対条件とされる環境で導入されることがよくあります。1台のコントローラで、生産ラインの調整、エネルギーの流れの制御、あるいは水の安全な処理や供給を確保することができます。こうした状況下では、ユーザー、アプリケーション、システムコンポーネント間の信頼境界が、安全な運用を維持するために不可欠です。
フェニックス・コンタクトのPLCnext AXC F 3152は、まさにこうした厳しい要件が求められるシナリオ向けに設計されています。工場自動化、エネルギー管理、水処理施設、その他の重要インフラなどで広く導入されている本デバイスは、オープンなPLCnextプラットフォームを通じて強力な自動化機能を提供します。最新のWebインターフェース、複数の産業用プロトコルへの対応、サードパーティ製アプリケーションによる拡張性により、多くのOT において柔軟な基盤となっています。
Nozomi Networks 、最近のセキュリティ調査活動において、 ファームウェアバージョン2024.0.6を実行しているPhoenix Contact社製PLCnext AXC F 3152を分析し、そのWebインターフェースに複数のセキュリティ脆弱性を特定しました。ベンダーによると、これらの問題は複数のPLCnextモデルに影響を及ぼしており、潜在的な影響範囲は単一のデバイスにとどまりません。 最も深刻な脆弱性により、「 エンジニア」プロファイルを持つ低権限ユーザーが権限を昇格させ、システムを完全に乗っ取ることが可能となり、そのアクセスレベルでは厳格に禁止されている操作を実行できるようになります。
責任ある開示プロセスを通じて脆弱性の報告を受けた後、フェニックス・コンタクトは、影響を受けるデバイス向けのファームウェア更新版をリリースし、報告された問題に迅速に対処しました。
リサーチ範囲
フェニックス・コンタクトのPLCnext AXC F 3152は、要求の厳しいオートメーション用途向けに設計された高性能産業用PLC(プログラマブル・ロジック・コントローラ)です。本製品は、フェニックス・コンタクトの「PLCnext Platform」を基盤としており、これは従来のPLC機能を最新のOT 拡張するオープンなオートメーション・エコシステムです。
本デバイスはWebベースの管理インターフェースを通じて設定され、ユーザーは図1に示すように、システムパラメータの設定、監視、および制御を行うことができます。
このインターフェース内では、権限レベルが異なるさまざまなユーザーロールが定義されており(図2)、重要な機能へのアクセスを適切に管理しています。適切なアクセス制御は、産業用システムのセキュリティと信頼性を維持するために不可欠です。
.png)
本ブログで取り上げる脆弱性は、PLCnext AXC F3152のWebインターフェースに対する徹底的なセキュリティ評価に基づいています。
攻撃シナリオ
中規模都市に給水する水処理施設を想像してみてください。 この施設の自動化ネットワークの中核を担うのは、Phoenix Contact社のPLCnext AXC F 3152です 。 このPLCは、OPC UAやPROFINETといった産業用通信 規格を通じて、 ろ過工程の調整、ポンプの制御、薬品の注入管理を行っています。 これらの規格は、 コントローラ、センサー、アクチュエータ、監視システム間の安全でリアルタイムなデータ交換と相互運用性を実現するものです。リンクまたは説明を追加
このPLCには、毎日複数のユーザーがアクセスしています:
- ファームウェアの更新やシステム全体の設定を管理する管理者
- 制御ロジックの展開、アプリケーションのインストール、およびトラブルシューティングを行うエンジニア
- システムの監視やアラームへの対応を行うオペレーター
リスクを最小限に抑えるため、エンジニアの権限は意図的に制限されています。エンジニアは自動化タスクの作業については信頼されていますが、セキュリティ設定、ユーザー管理、または低レベルのシステムコンポーネントを変更することは許可されていません。
少なくとも、そう考えられている。
最も深刻な脆弱性により、「エンジニア」ロールの低権限ユーザーが、Webインターフェースのアプリケーションインストール機能を利用して、自身の権限を rootへと昇格させ、デバイスを完全に制御できるようにします。「エンジニア」ロールには管理権限が制限されているため、この欠陥により、通常は当該ユーザーがアクセスできないはずのシステム設定への不正な変更が可能となります。
現実的な攻撃シナリオにおいて、攻撃者は最初からインターネットをスキャンする外部のハッカーとして行動するわけではありません。むしろ、すでに限定的な内部アクセス権限を保有している可能性があります。例えば:
- セキュリティ侵害を受けたエンジニアリング用ワークステーション
- 盗まれたVPNの認証情報
- エンジニア権限を持つ悪意のある内部関係者
このレベルのアクセス権限があれば、攻撃者は脆弱性を悪用することなく、正当なエンジニアの認証情報を使用してPLCnextのWebインターフェースに認証を行うことができます。
悪用の手口は以下の通りです:
- 攻撃者は、デバイスにすでにインストールされているもの、あるいはPLCnextエコシステムから入手した正規のアプリケーションのいずれか、既存のPLCnextアプリケーションを特定します。
- このアプリケーションは、本来の目的とは無関係な追加機能を含めるよう、オフラインで修正されています。
- 攻撃者は、PLCnextのWebインターフェースを通じて、改ざんされたアプリケーションをインストールします。この段階で、重大なセキュリティ上の脆弱性が露呈します。つまり、このデバイスはデジタル署名の検証を行わないため、アプリケーションが信頼できるPLCnext Storeから提供されたものかどうかを確認できないのです。
- 権限の昇格: インストールが完了すると 、アプリケーションはroot権限で実行されます。
「Engineer」ユーザーは、管理者権限を一度も付与されたことがないにもかかわらず、事実上、そのデバイスを完全に制御できるようになった。
この脆弱性はCVE-2025-41669として特定されており、CVSSスコアはCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (8.8)となっています。
PLCを完全に制御下に置くと、その影響はデバイス自体にとどまらず、物理的なプロセスや業務の継続性に直接的な影響を及ぼすことになる。
このブログ記事の冒頭で説明した水処理施設のシナリオにおいて、root権限を持つ攻撃者は以下のことが可能となります:
- ポンプとバルブの連動を妨げ、圧力バランスの乱れを引き起こしたり、自動安全停止を強制したりする
- リモート監視を無効にし、オペレーターがリアルタイムのプロセス状況を把握できなくする
- 制御ロジックの実行を改ざんし、その結果、センサーデータに対する応答が遅れたり、誤ったものになったりすること
運用担当者は、アラームの発生、テレメトリの喪失、あるいは原因不明の機器の異常動作を目にする場合がありますが、その根本原因が明確でないことが多々あります。攻撃が進行するにつれ、運用担当者は安全でない運用状態を回避するためにシステムを停止せざるを得なくなり、サイバーセキュリティインシデントが即座に可用性の危機へと発展する可能性があります。単一のコントローラの侵害から始まった事態が、瞬く間に機器への負荷、サービスの中断、そして緊急対応手順の実施へとエスカレートする恐れがあります。
これらの脆弱性の影響
この脆弱性を悪用すると、「エンジニア」ロールの権限が低いユーザーが、Webインターフェースのアプリケーションインストール機能を利用して権限をrootに昇格させ、デバイスを完全に制御できるようになります。「エンジニア」ロールには管理権限に制限があるため、この脆弱性により、通常は当該ユーザーがアクセスできないシステム設定への不正な変更が可能となります。以下に、この脆弱性の悪用によって生じうるすべての影響を列挙し、括弧内に該当するMITRE ATT&CKの参照番号を記載します。
- ネットワーク内での横方向の移動(T1210 – リモートサービスの悪用):Phoenix Contact社のPLCnext AXC F 3152デバイスを侵害した後、攻撃者はこれを足掛かりとしてネットワーク内を移動し、接続されている他のデバイスやシステムを標的にすることが可能です。これにより、さらなる侵害が発生し、攻撃がエスカレートして重要な業務に影響を及ぼしたり、インフラ全体が機能停止に陥ったりする恐れがあります。
- サービス拒否(DoS)攻撃(T1499 – エンドポイントのサービス拒否):攻撃者は、Webアプリケーション内のネットワーク設定などの重要な機能を無効化し、デバイスへのアクセスを不可能にすることで、業務を妨害する可能性があります。さらに、Ethernet/IP、OPC UA、PROFINETなどのOT プロトコルを無効化し、通信障害やアプリケーションの誤動作を引き起こす可能性があります。
- セキュリティ対策の弱体化(T1556 – 認証プロセスの変更):攻撃者が、ユーザー認証、権限レベル、ファイアウォールルールなどの制限されたセキュリティ設定を変更することで、デバイスが潜在的な脅威や不正アクセスに対してより脆弱になる可能性があります。
脆弱性リストと影響を受けるバージョン
以下の表は、調査活動を通じて発見され、以下のPhoenix Contact社製PLCnextベースのデバイスのファームウェアバージョン2025.0.2までに存在することが確認されたすべての脆弱性をまとめたものです:
- AXC F 1152
- AXC F 2152
- AXC F 3152
- RFC 4072S
- BPC 9102S
結果は、CVSS 3.1 スコアの高い順(深刻度が高い順)に並べ替えられています。
脆弱性スポットライト
本ブログの「脆弱性スポットライト」では、前回ご紹介したCVE-2025-41669に焦点を当てます。これはCWE-349「暗号署名の不適切な検証」に該当する脆弱性であり 、PLCnextストアからダウンロードされた正規のアプリケーションを悪用することで、「Engineer」ロールに属する低権限ユーザーが権限を「root」に昇格させることが可能となります。
本デバイスのユーザーマニュアルでは、PLCデバイス上で機能に制限のある「エンジニア」ロールが規定されています。 これらの制限があるにもかかわらず、このロールに割り当てられたユーザーは、Webベースの管理アプリケーション内の「PLCnext Apps」セクションにアクセスできます。このアクセス権により、ユーザーは通常PLCnext Storeからダウンロードされるアプリケーションを手動でインストールすることが可能になります。ストアから入手したアプリケーション、具体的にはx64CPU向けのTelegrafアプリケーションを調査したところ、以下のスクリーンショットに示すように、このアプリケーションが実際にはsquashfsファイルシステムイメージであることが明らかになりました。
.png)
squashfsイメージの内容を展開してみると、app_info.jsonファイルが、デバイス上でのアプリケーションの実行方法を定義し、実行されるメインの実行ファイルを指定していることがわかります。
信頼できないアプリケーションをインストールした場合の影響を評価するため、Telegrafのメイン実行ファイルを悪意のあるペイロード(この場合は、Linuxにおける`id`コマンドの単純な実行)に置き換えました。その後、以下に示すようにsquashfsイメージを再構築しました。
Webベースの管理アプリケーションで「Engineer」ユーザーセッションを使用し、改変された「test.app」アプリケーションのインストールに成功した。/tmp/expファイルを分析した結果、「test.app」に埋め込まれた悪意のあるペイロードが、Linux オペレーティングシステム上で root 権限で実行されたことが確認された。これにより、この攻撃手法が、権限の低い「Engineer」ロールから root 権限へと効果的に権限を昇格させることが実証された。
結論と提言
Nozomi Networks 、責任ある開示プロセスを通じて当該ベンダーにNetworks 。Phoenix Contactは、脆弱性の詳細および影響を受ける製品を記載した2つのセキュリティアドバイザリを公開し、速やかに問題に対処しました:
- CVE-2025-41665 から CVE-2025-41668 までの脆弱性に関するアドバイザリへのリンク
- CVE-2025-41669 および CVE-2025-41670 に関するアドバイザリへのリンク
Networks を受け、フェニックス・コンタクトは自社のエコシステムのセキュリティを強化するための明確な対策を提示しました。特に、同社はエンジニアリング・ワークフローの完全性を高めることを目的とした措置として、署名付きアプリケーションのサポートを導入しています。
今回のアップデートにより、署名検証が有効になっている場合、エンジニアは改ざんまたは操作されたアプリケーションをインポートできなくなります。信頼性が高く検証済みのアプリのみが使用できるようにすることで、フェニックス・コンタクトは不正な改変を防止し、システム全体のセキュリティを強化するための重要な一歩を踏み出しています。
セキュリティ勧告によると、推奨される対策は、影響を受けるデバイスのファームウェアを最新バージョンに更新することです。
リスクを軽減するための暫定的な対策として、影響を受けるPLCnextデバイスへのアクセス権限は、信頼できるユーザーのみに付与することを推奨します。また、デバイスへの不正アクセスを防ぐためには、厳格なネットワーク分離を実施することが不可欠です。
組織が自社の環境内に脆弱性のあるデバイスが存在するかどうかを迅速に特定し、業務の混乱やシステムの侵害、さらなる攻撃の拡大につながる前に、悪用試みを検知して警告を発するため、お客様はNozomi Networks Guardian高度な機能を活用できます。Guardian 、ネットワークトラフィックやデバイスの動作を詳細にGuardian 、IoT にわたる効果的な脆弱性および脅威の検知を実現Guardian 。
このプロアクティブな監視により、セキュリティチームは迅速かつ効果的に対応できるようになり、重要なOT 標的とした攻撃による影響を最小限に抑えることができます。Nozomi IoT の詳細や実際の動作をご覧になりたい方は、今すぐデモをご請求ください。
