FAWEB 株式会社たけびし株式会社たけびし
ユーザー登録(製品登録)ライセンスお問い合わせ
ユーザー登録(製品登録)ライセンスお問い合わせ

購入・サポート

  1. TOP
  2. 購入・サポート
  3. セキュリティ情報

セキュリティ情報

セキュリティポリシー

株式会社たけびしは、お客様と社会の信頼・要望に応えるため、情報資産の安全かつ適正な管理・運用を実施することが重要と考え、情報セキュリティマネジメントシステムの国際規格「ISO27001」(ISMS)を取得しております。

詳細は以下をご確認下さい。

情報セキュリティマネジメントシステム | 株式会社たけびし (takebishi.co.jp)

各製品の脆弱性情報

デバイスエクスプローラOPCサーバー
デバイスゲートウェイ
OPC Spider
共通

デバイスエクスプローラOPCサーバー

※この表は横にスクロールできます

リリース時期
緊急度

 対象
バージョン		 内容

2023年5月
重要

6.0.0 - 6.7.0
7.0.0 - 7.0.1

OPC UAサーバー/クライアントHTTPクライアント/MQTTクライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1nから1.1.1tへ更新。
以下の脆弱性を改善。
- メモリの内容を読み取られる。
- システムがサービス運用妨害(DoS)状態にされる。
- ソフトウェアが送信したアプリケーションのデータを復号される。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2023-0286 
CVSSスコア:7.4(重要)
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H)
-攻撃により、メモリ内容を読み取ったり、サービス妨害を実行したりできる可能性があります。
詳細:https://nvd.nist.gov/vuln/detail/CVE-2023-0286

脆弱性:
CVE-2022-4304
CVSSスコア:5.9(警告)
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N)
- 攻撃により、ソフトウェアが送信したアプリケーションのデータを復号される可能性があります。
詳細:https://nvd.nist.gov/vuln/detail/CVE-2022-4304

脆弱性:
CVE-2023-0215
CVSSスコア:7.5(重要)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
-攻撃により、サービス運用妨害(DoS)状態にされる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-0215

脆弱性:
CVE-2022-4450
CVSSスコア:7.5(重要)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
- 攻撃により、サービス運用妨害(DoS)状態にされる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2022-4450

対策:
Ver.6.8.0またはVer.7.1.0へアップデートする。

2022年7月
重要

6.0.0 - 6.6.0

OPC UAサーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1lから1.1.1nへ更新。
悪意のある攻撃者によって、サービス運用妨害(DoS)攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2022-0778
CVSSスコア:7.5(重要)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
- 不正な楕円曲線パラメータを含むように細工された証明書により無限ループが引き起こされ、サービス応答不可状態に陥る可能性がある。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2022-0778
 

対策:
Ver.6.7.0へアップデートする

2021年12月
緊急

 6.0.0 - 6.4.0

OPC UA サーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.02pから1.1.1lへ更新。
悪意のある攻撃者によって、アプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2021-3711
CVSSスコア:9.8(緊急)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- 悪意のあるパケットによりOpenSSLを実行しているアプリケーションの動作が変更されたり、  サービス運用妨害(DoS)攻撃が行われる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-3711

脆弱性:
CVE-2021-3712
CVSSスコア:7.4(重要)
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H)
- 悪意のあるパケットによりメモリ上の機微な情報が読み取られたり、サービス運用妨害(DoS)攻撃が行われる。
詳細:https://nvd.nist.gov/vuln/detail/CVE-2021-3712

対策:
Ver.6.5.0へアップデートする

2021年8月
緊急

 6.0.0 - 6.3.0

ライセンスキー認証に利用しているライブラリ(CodeMeterRuntime)のバージョンをv7.20bからv7.21aへ更新。
悪意のある攻撃者によって、ライセンス認証ができなくなる現象及び、データが流出する現象の改善。(ICSA-21-210-02)

原因:
CodeMeter Runtimeに起因する脆弱性

脆弱性:
CVE-2021-20093
CVSSスコア:9.1(緊急)
(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H)
-悪意のあるパケットによりサーバーの異常停止が引き起こされたり、不正なデータ取得が行われる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-20093

脆弱性:
CVE-2021-20094
CVSSスコア:7.5(重要)
(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
-悪意のあるパケットによりCmWANサーバーがサービス拒否状態にされる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-20094

対策:
CodeMeterRuntimeをv7.21aへアップデートする。
(デバイスエクスプローラ OPCサーバーをVer.6.4.0へアップデートすることでも本モジュールがアップデートできます。)

緩和策:
CVE-2021-20093
- CodeMeterをクライアントとしてのみ実行し、ローカルホストをCodeMeter通信のバインド先として使用します。ローカルホストにバインドすると、リモートネットワーク接続を介した攻撃は不可能になります。ネットワークサーバーはデフォルトで無効になっています。
- ファイアウォールを使用してCmLANポートへのアクセスを制限する。

CVE-2021-20094
- CmWANサーバーが有効になっているかどうかを確認し、不要な場合は機能を無効にする。
- 認証されていないユーザーからの攻撃を防ぐために、ユーザー認証を使用してリバースプロキシで保護されたネットワーク上でのみCmWANサーバーを実行する。
- リバースプロキシでのみCmWANポートにアクセスできるようにするファイアウォールを設定する。

2021年8月
重要

 5.0.0.1 -
5.4.0.1

OPC UAサーバー機能を有効時に悪意のある攻撃者によって、スタックオーバーフローを引き起こされアプリケーションが停止する脆弱性を改善。

原因:
OPC Foundation提供のOPC UAコンポーネントに起因する脆弱性

脆弱性:
CVE-2021-27432
スタックオーバーフローが引き起こされアプリケーションが停止する
CVSSスコア:7.5(重要)
(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-27432
 

対策:
OPC UAサーバー機能無効化もしくはVer.5.4.1.1へアップデートする

緩和策:
- すべての制御システムデバイスまたはシステムのネットワークとの接続を最小限に抑え、インターネットからアクセスできないようにする。
- 制御システムやデバイスをファイアウォールで保護されたネットワークに配置する。また、それらをビジネスネットワークから分離する。
- リモートアクセスが必要な場合は、仮想プライベートネットワーク(VPN)などの安全な方法を使用する。

デバイスゲートウェイ

※この表は横にスクロールできます

リリース時期
緊急度

 対象
バージョン		 内容

2024年3月
重要

 3.3.0以前

バッファリング機能で利用しているSQLiteのライブラリのバージョンを3.30.1から3.45.2へ更新。
以下の脆弱性を改善。
-メモリの内容を読み取られる
-メモリの内容を改竄される
-システムがサービス運用妨害(DoS)状態にされる

原因:
SQLiteに起因する脆弱性

脆弱性:
CVE-2023-7104
CVSSスコア:7.3(重要)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
- 攻撃により、メモリ内容を読み取ったり、サービス妨害を実行したりできる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-7104

 

対策:
Ver.3.4.0へアップデートする。

2023年5月
重要

 3.2.0以前

OPC UA サーバー/クライアント/HTTPクライアント/MQTTクライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1nから1.1.1tへ更新。
以下の脆弱性を改善。
-メモリの内容を読み取られる
-システムがサービス運用妨害(DoS)状態にされる
-ソフトウェアが送信したアプリケーションのデータを復号される

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2023-0286
CVSSスコア:7.4(重要)
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H)
- 攻撃により、メモリ内容を読み取ったり、サービス妨害を実行したりできる可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-0286

 

対策:
Ver.3.2.1へアップデートする。

2022年3月
重要

 3.0.3以前

OPC UA サーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.1.1lから1.1.1nへ更新。
悪意のある攻撃者によって、サービス運用妨害(DoS)攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2022-0778
CVSSスコア:7.5(重要)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
- 不正な楕円曲線パラメータを含むように細工された証明書により無限ループが引き起こされサービス応答不可状態に陥る可能性がある。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2022-0778

対策:
Ver.3.1.0へアップデートする

2021年10月
緊急

 3.0.0以前

OPC UA サーバー/クライアント機能で利用しているOpenSSLのライブラリのバージョンを1.02pから1.1.1lへ更新。
悪意のある攻撃者によって、アプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われる脆弱性を改善。

原因:
OpenSSLに起因する脆弱性

脆弱性:
CVE-2021-3711
CVSSスコア:9.8(緊急)
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
- 悪意のあるパケットによりOpenSSLを実行しているアプリケーションの動作が変更されたり、サービス運用妨害(DoS)攻撃が行われる。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-3711

脆弱性:
CVE-2021-3712
CVSSスコア:7.4(重要)
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H)
- 悪意のあるパケットによりメモリ上の機微な情報が読み取られたり、サービス運用妨害(DoS)攻撃が行われる 。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2021-3712
 

対策:
Ver.3.0.1へアップデートする

OPC Spider

※この表は横にスクロールできます

リリース時期
緊急度		 対象
バージョン		 内容

2023年5月
重要

 1.2.1以前

ScriptRunner の起動設定ファイルのパスワード暗号化を改善。
また、ScriptRunner for Amazon SQS で、起動設定ファイルのシークレットキー・ パスワード暗号化、およびプロパティファイルのシークレットキー暗号化を改善

脆弱性:
CVE-2023-28937
CVSSスコア:8.8(重要)
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

影響:
当該製品にアクセス可能な攻撃者が ScriptRunner またはScriptRunner for Amazon SQS の起動設定ファイルを入手した場合に、ハードコードされた暗号鍵を使用して暗号化されている認証情報を復号される可能性があります。
詳細: https://nvd.nist.gov/vuln/detail/CVE-2023-28937

対策:
Ver.1.2.2へアップデートする

ScriptRunnerをご利用の場合、アップデート後すべての起動設定ファイルに対して、以下の手順で再暗号化を行ってください。

  1. 起動設定ファイルを開き、password 要素の値を平文のパスワードに置き換えます。​
  2. password 要素の encrypt 属性を [false] にする、または属性を削除します。
  3. ヘルプ「ScriptRunner」ページの「起動設定ファイルのパスワード暗号化」項に従い、1. で記述したパスワードを暗号化します。起動設定ファイルを別の環境で使用する場合は、上記の手順を再度行う必要があります。


ScriptRunner for Amazon SQS をご利用の場合、アップデート後すべての起動設定ファイルおよびプロパティファイルに対して、以下の手順で再暗号化を行ってください。​

  1. 起動設定ファイルを開き、secretkey 要素および password 要素の値を平文のシークレットキー・パスワードに置き換えます。
  2. secretkey 要素および password 要素の encrypt 属性を [false] にする、または属性を削除します。
  3. ヘルプ「ScriptRunner for Amazon SQS」ページの「起動設定ファイルのシークレットキー・パスワード暗号化」項に従い、1.で記述したシークレットキー・パスワードを暗号化します。
  4. プロパティファイルを開き、AWS_SECRET_KEY キーの値を平文のシークレットキーに置き換えます。
  5. ENCRYPTED キーの値を [false] にする、または ENCRYPTED キーを削除します。
  6. ヘルプ「ScriptRunner for Amazon SQS」ページの「プロパティファイルのシークレットキー暗号化」項に従い、4.で記述したシークレットキーを暗号化します。

起動設定ファイル、およびプロパティファイルを別の環境で使用する場合は、上記の手順を再度行う必要があります。

共通

※この表は横にスクロールできます

リリース時期
緊急度		 内容

2022年3月
重要

DCOMの脆弱性(CVE-2021-26414)対応のセキュリティ更新プログラムによる弊社製品への影響について、DCOMを用いた通信を行う以下のような構成で、OPC DAクライアントが、セキュリティ更新プログラム適用後にOPC DAサーバーに接続できなくなる可能性があります。

  • OPC DAクライアントとOPC DAサーバーが別PCで動作している場合。

  • OPC DAクライアントとOPC DAサーバーの起動ユーザーが異なる場合(サービス起動時など)。

※ OPC UAインターフェイスによる通信には影響はありません。

影響を受ける弊社製品について

以下の製品のOPC DAインターフェイスによる通信が影響を受ける可能性があります。

  • デバイスエクスプローラ OPCサーバー (DXPサーバー) 全バージョン
  • 各種OPC DA用サンプルクライアント 全バージョン
  • DAサーバー 全バージョン
  • デバイスエクスプローラ データロガー (DXPロガー) 全バージョン

 

詳細と対策方法に関しては以下をご確認ください。

DCOMの脆弱性(CVE-2021-26414)対応のセキュリティ更新プログラムによる弊社製品への影響について

パッチのダウンロード

以下のリンクから脆弱性対策版のパッチをダウンロード頂けます。

ソフトウェアパッチ

セキュリティ通知登録

セキュリティーに関するアップデート情報をメールでお知らせしますので、ご希望の方は登録お願い致します。