セキュリティ情報

2025年3月
緊急

6.0.0 - 6.8.1
7.0.0 - 7.3.3

ライセンスキー認証に利用しているライブラリ（CodeMeterRuntime）のバージョンをv7.51からv8.20aへ更新

原因:CodeMeter Runtimeに起因する脆弱性
脆弱性: CVE-2023-3935(CVSSスコア:CVSS v3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H 基本値: 9.0)
-ヒープバッファオーバーフローの脆弱性があり、リモートコード実行の危険性があります。
対象:v7.60cより前のすべてのバージョン

CVE-2023-38545(CVSSスコア:CVSS v3.1 CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値: 9.8)
-対象の製品は、内部で libcurl を使用しており、curl が SOCKS5 プロキシ経由で通信をリダイレクトするように設定されている場合、バッファオーバーフロー攻撃の脆弱性があります。
対象:v7.60dより前のすべてのバージョン

対策:
CodeMeterRuntimeをv8.20aへアップデートする(デバイスエクスプローラ OPCサーバーをVer.6.8.2.1またはVer.7.4.0.1へアップデートすることでも本モジュールがアップデートできます)

詳細は
https://www.wibu.com/support/security-advisories.html
を確認ください。

2025年3月
重要

5.0.0.1 - 5.4.1.1
6.0.0 - 6.8.1
7.0.0 - 7.3.3

EZSocketライブラリのバージョンをVer5.4からVer5.Aへ更新

原因:EZSocketに起因する脆弱性
脆弱性:
CVE-2023-51777 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4)
CVE-2023-51778 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4)
CVE-2024-22102 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4)
CVE-2024-22103 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4)
CVE-2024-22104 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4)
CVE-2024-22105 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4)
CVE-2024-25087 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:H 基本値:4.4)
-悪意のあるプログラムが実行されることにより、Windows のブルースクリーン（BSOD）エラーが引き起こされてサービス停止状態(DoS)状態に陥る危険性があります。
対象:5.92より前のすべてのバージョン

CVE-2023-51776 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4)
CVE-2024-25086 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4)
CVE-2024-25088 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4)
CVE-2024-26314 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値:4.4)
-悪意のあるプログラムが実行されることにより、Windows のシステム権限を取得されて任意のコマンドが実行される危険性があります。
対象:5.92より前のすべてのバージョン

CVE-2024-22106 (CVSSスコア:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:H 基本値:6.0)
-悪意のあるプログラムが実行されることにより、Windows のブルースクリーン（BSOD）エラーが引き起こされてサービス停止状態(DoS)状態に陥る危険性及び
Windows のシステム権限を取得されて任意のコマンドが実行される危険性があります。
対象:5.92より前のすべてのバージョン

CVE-2023-6942 (CVSSスコア:v3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値:7.5)
CVE-2023-6943 (CVSSスコア:v3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値:9.8)
-攻撃者は、細工したパケットを送信することにより、認証を回避して当該製品と不正に接続できる可能性があります。
更に、当該製品との接続状態において、悪意のあるライブラリへのパスを指定して関数呼び出しを行うことにより、悪意のあるプログラムを実行できる可能性があります。
結果として、権限のないユーザによって情報を窃取されたり、情報を改ざん・破壊・削除されたり、当該製品をサービス停止（DoS）状態に陥らさせられる可能性があります。
対象:バージョン3.0～5.92

対策:
デバイスエクスプローラ OPCサーバーをVer.6.8.2.1またはVer.7.4.0.1へアップデートする。

詳細は
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2024-001.pdf
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-020.pdf
を確認ください

2023年5月
重要

6.0.0 - 6.7.0
7.0.0 - 7.0.1

OPC UAサーバー/クライアントHTTPクライアント/MQTTクライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1nから1.1.1tへ更新。
以下の脆弱性を改善。
- メモリの内容を読み取られる。
- システムがサービス運用妨害（DoS）状態にされる。
- ソフトウェアが送信したアプリケーションのデータを復号される。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2023-0286　
CVSSスコア：7.4（重要）
（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H）
-攻撃により、メモリ内容を読み取ったり、サービス妨害を実行したりできる可能性があります。
詳細：https://nvd.nist.gov/vuln/detail/CVE-2023-0286

脆弱性:
CVE-2022-4304
CVSSスコア:5.9（警告）
（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N）
- 攻撃により、ソフトウェアが送信したアプリケーションのデータを復号される可能性があります。
詳細：https://nvd.nist.gov/vuln/detail/CVE-2022-4304

脆弱性:
CVE-2023-0215
CVSSスコア:7.5（重要）
（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
-攻撃により、サービス運用妨害（DoS）状態にされる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-0215

脆弱性:
CVE-2022-4450
CVSSスコア:7.5（重要）
（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H）
- 攻撃により、サービス運用妨害（DoS）状態にされる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2022-4450

対策:
Ver.6.8.0またはVer.7.1.0へアップデートする。

2022年7月
重要

6.0.0 - 6.6.0

OPC UAサーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1lから1.1.1nへ更新。
悪意のある攻撃者によって、サービス運用妨害（DoS）攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2022-0778
CVSSスコア：7.5（重要）
（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H）
- 不正な楕円曲線パラメータを含むように細工された証明書により無限ループが引き起こされ、サービス応答不可状態に陥る可能性がある。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2022-0778
 

2021年12月
緊急

OPC UA サーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.02pから1.1.1lへ更新。
悪意のある攻撃者によって、アプリケーションの動作が変更されたり、サービス運用妨害（DoS）攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2021-3711
CVSSスコア：9.8（緊急）
（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）
- 悪意のあるパケットによりOpenSSLを実行しているアプリケーションの動作が変更されたり、  サービス運用妨害（DoS）攻撃が行われる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-3711

脆弱性:
CVE-2021-3712
CVSSスコア：7.4（重要）
（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H）
- 悪意のあるパケットによりメモリ上の機微な情報が読み取られたり、サービス運用妨害（DoS）攻撃が行われる。
詳細:https://nvd.nist.gov/vuln/detail/CVE-2021-3712

対策:
Ver.6.5.0へアップデートする

2021年8月
緊急

ライセンスキー認証に利用しているライブラリ（CodeMeterRuntime）のバージョンをv7.20bからv7.21aへ更新。
悪意のある攻撃者によって、ライセンス認証ができなくなる現象及び、データが流出する現象の改善。(ICSA-21-210-02)

原因:
CodeMeter Runtimeに起因する脆弱性

脆弱性:
CVE-2021-20093
CVSSスコア：9.1（緊急）
（CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H）
-悪意のあるパケットによりサーバーの異常停止が引き起こされたり、不正なデータ取得が行われる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-20093

脆弱性:
CVE-2021-20094
CVSSスコア：7.5（重要）
（CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H）
-悪意のあるパケットによりCmWANサーバーがサービス拒否状態にされる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-20094

対策:
CodeMeterRuntimeをv7.21aへアップデートする。
(デバイスエクスプローラ OPCサーバーをVer.6.4.0へアップデートすることでも本モジュールがアップデートできます。)

緩和策:
CVE-2021-20093
- CodeMeterをクライアントとしてのみ実行し、ローカルホストをCodeMeter通信のバインド先として使用します。ローカルホストにバインドすると、リモートネットワーク接続を介した攻撃は不可能になります。ネットワークサーバーはデフォルトで無効になっています。
- ファイアウォールを使用してCmLANポートへのアクセスを制限する。

CVE-2021-20094
- CmWANサーバーが有効になっているかどうかを確認し、不要な場合は機能を無効にする。
- 認証されていないユーザーからの攻撃を防ぐために、ユーザー認証を使用してリバースプロキシで保護されたネットワーク上でのみCmWANサーバーを実行する。
- リバースプロキシでのみCmWANポートにアクセスできるようにするファイアウォールを設定する。

2021年8月
重要

OPC UAサーバー機能を有効時に悪意のある攻撃者によって、スタックオーバーフローを引き起こされアプリケーションが停止する脆弱性を改善。

原因:
OPC Foundation提供のOPC UAコンポーネントに起因する脆弱性

脆弱性:
CVE-2021-27432
スタックオーバーフローが引き起こされアプリケーションが停止する
CVSSスコア：7.5（重要）
（CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H）
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-27432
 

2024年3月
重要

バッファリング機能で利用しているSQLiteのライブラリのバージョンを3.30.1から3.45.2へ更新。
以下の脆弱性を改善。
-メモリの内容を読み取られる
-メモリの内容を改竄される
-システムがサービス運用妨害（DoS）状態にされる

原因:
SQLiteに起因する脆弱性

脆弱性:
CVE-2023-7104
CVSSスコア：7.3（重要）
（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L）
- 攻撃により、メモリ内容を読み取ったり、サービス妨害を実行したりできる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-7104

2023年5月
重要

OPC UA サーバー/クライアント/HTTPクライアント/MQTTクライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1nから1.1.1tへ更新。
以下の脆弱性を改善。
-メモリの内容を読み取られる
-システムがサービス運用妨害（DoS）状態にされる
-ソフトウェアが送信したアプリケーションのデータを復号される

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2023-0286
CVSSスコア：7.4（重要）
（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H）
- 攻撃により、メモリ内容を読み取ったり、サービス妨害を実行したりできる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-0286

2022年3月
重要

OPC UA サーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1lから1.1.1nへ更新。
悪意のある攻撃者によって、サービス運用妨害（DoS）攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2022-0778
CVSSスコア：7.5（重要）
（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H）
- 不正な楕円曲線パラメータを含むように細工された証明書により無限ループが引き起こされサービス応答不可状態に陥る可能性がある。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2022-0778

対策:
Ver.3.1.0へアップデートする

2021年10月
緊急

OPC UA サーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.02pから1.1.1lへ更新。
悪意のある攻撃者によって、アプリケーションの動作が変更されたり、サービス運用妨害（DoS）攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2021-3711
CVSSスコア：9.8（緊急）
（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）
- 悪意のあるパケットによりOpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害（DoS）攻撃が行われる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-3711

脆弱性:
CVE-2021-3712
CVSSスコア：7.4（重要）
（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H）
- 悪意のあるパケットによりメモリ上の機微な情報が読み取られたり、サービス運用妨害（DoS）攻撃が行われる 。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-3712
 

2023年5月
重要

ScriptRunner の起動設定ファイルのパスワード暗号化を改善。
また、ScriptRunner for Amazon SQS で、起動設定ファイルのシークレットキー・ パスワード暗号化、およびプロパティファイルのシークレットキー暗号化を改善。

脆弱性:
CVE-2023-28937
CVSSスコア：8.8（重要）
（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H）

影響:
当該製品にアクセス可能な攻撃者が ScriptRunner またはScriptRunner for Amazon SQS の起動設定ファイルを入手した場合に、ハードコードされた暗号鍵を使用して暗号化されている認証情報を復号される可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-28937

対策:
Ver.1.2.2へアップデートする

ScriptRunnerをご利用の場合、アップデート後すべての起動設定ファイルに対して、以下の手順で再暗号化を行ってください。

1. 起動設定ファイルを開き、password 要素の値を平文のパスワードに置き換えます。​
2. password 要素の encrypt 属性を [false] にする、または属性を削除します。
3. ヘルプ「ScriptRunner」ページの「起動設定ファイルのパスワード暗号化」項に従い、1. で記述したパスワードを暗号化します。起動設定ファイルを別の環境で使用する場合は、上記の手順を再度行う必要があります。

ScriptRunner for Amazon SQS をご利用の場合、アップデート後すべての起動設定ファイルおよびプロパティファイルに対して、以下の手順で再暗号化を行ってください。​

1. 起動設定ファイルを開き、secretkey 要素および password 要素の値を平文のシークレットキー・パスワードに置き換えます。
2. secretkey 要素および password 要素の encrypt 属性を [false] にする、または属性を削除します。
3. ヘルプ「ScriptRunner for Amazon SQS」ページの「起動設定ファイルのシークレットキー・パスワード暗号化」項に従い、1.で記述したシークレットキー・パスワードを暗号化します。
4. プロパティファイルを開き、AWS_SECRET_KEY キーの値を平文のシークレットキーに置き換えます。
5. ENCRYPTED キーの値を [false] にする、または ENCRYPTED キーを削除します。
6. ヘルプ「ScriptRunner for Amazon SQS」ページの「プロパティファイルのシークレットキー暗号化」項に従い、4.で記述したシークレットキーを暗号化します。

起動設定ファイル、およびプロパティファイルを別の環境で使用する場合は、上記の手順を再度行う必要があります。

2022年3月
重要

DCOMの脆弱性（CVE-2021-26414）対応のセキュリティ更新プログラムによる弊社製品への影響について、DCOMを用いた通信を行う以下のような構成で、OPC DAクライアントが、セキュリティ更新プログラム適用後にOPC DAサーバーに接続できなくなる可能性があります。

• OPC DAクライアントとOPC DAサーバーが別PCで動作している場合。

• OPC DAクライアントとOPC DAサーバーの起動ユーザーが異なる場合（サービス起動時など）。

※ OPC UAインターフェイスによる通信には影響はありません。

影響を受ける弊社製品について

以下の製品のOPC DAインターフェイスによる通信が影響を受ける可能性があります。

• デバイスエクスプローラ OPCサーバー (DXPサーバー)　全バージョン
• 各種OPC DA用サンプルクライアント　全バージョン
• DAサーバー　全バージョン
• デバイスエクスプローラ データロガー (DXPロガー)　全バージョン

詳細と対策方法に関しては以下をご確認ください。

DCOMの脆弱性（CVE-2021-26414）対応のセキュリティ更新プログラムによる弊社製品への影響について