サイバーセキュリティ📖 1分で読了

CISA ICSアドバイザリ 三菱電機PLCの脆弱性と対策MELSEC iQ-Rシリーズに情報漏洩・改ざん・DoSリスク、製造業は即時確認を

CISA ICSアドバイザリ 三菱電機PLCの脆弱性と対策

CISAが三菱電機MELSEC iQ-Rシリーズの脆弱性(CVE-2025-15080)に関するICSアドバイザリを公開。製造業のOT環境を守るために今すぐ確認すべき対策を解説します。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

三菱電機の産業用PLCに脆弱性、CISAが対策を呼びかけ

CISAのICSアドバイザリ(ICSA-26-036-02)によると、三菱電機の産業用PLC「MELSEC iQ-Rシリーズ」に情報漏洩・改ざん・DoS(サービス拒否)につながる脆弱性が確認されました。MELSEC iQ-Rシリーズを利用中の企業は、まず該当型番(R08/16/32/120PCPU)の有無とファームウェアバージョンが48以下かどうかを即座に確認してください。この脆弱性が悪用されると、制御プログラムの読み取りやデバイスデータの改ざん、さらには製造ラインの停止に直結するDoS状態を引き起こされる可能性があります。専任の情報セキュリティ担当がいない工場や、保全担当者がIT管理を兼務している現場では、特に対応の遅れが懸念されます。

脆弱性の概要と影響範囲

今回公開された脆弱性はCVE-2025-15080として登録されています。三菱電機独自のプロトコル通信およびSLMP通信に存在する入力値検証の不備(CWE-1284:入力における指定数量の不適切な検証)が原因で、攻撃者が特別に細工したパケットを送信することにより、デバイスデータや制御プログラムの一部を読み取る、デバイスデータを書き換える、あるいはDoS状態を引き起こすことが可能になります。

影響を受けるのは、MELSEC iQ-RシリーズのR08PCPU、R16PCPU、R32PCPU、R120PCPUで、ファームウェアバージョン48以下が対象です。MELSEC iQ-Rシリーズは三菱電機のFA(ファクトリーオートメーション)製品の中核を担うフラッグシップモデルであり、国内外の製造業で広く導入されています。CISAによると、対象セクターは「重要製造業(Critical Manufacturing)」、展開地域は「全世界」とされています。

なぜOT/ICSセキュリティが今これほど重要なのか

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

産業用制御システム(ICS)や運用技術(OT)環境を標的とするサイバー攻撃は、年々深刻さを増しています。2025年に公開されたICS関連の脆弱性は2,451件にのぼり、前年比でほぼ倍増しました。製造業はランサムウェア攻撃の最大の標的となっており、2025年第2四半期だけで製造業に対するランサムウェアインシデントは428件が報告され、全体の約65%を占めています。

OT環境の特徴は「止められない」ことにあります。ITシステムのように週末にメンテナンスウィンドウを設けてパッチを当てるという対応が難しく、24時間365日稼働し続ける生産ラインを止めることは直接的な売上損失につながります。この「止められない現場」の事情が、結果としてパッチ適用の遅延やレガシーシステムの放置を招き、攻撃者にとって格好の標的を生み出しています。SANS Instituteの2025年調査では、OT環境のインシデントの半数が外部からの不正アクセスであったにもかかわらず、セッション記録やICS/OT対応のアクセス制御といった高度な対策を完全に導入している組織はわずか13%にとどまっています。

今すぐ取るべき具体的なアクション

まず、自社のFA環境でMELSEC iQ-Rシリーズを使用しているかを確認してください。該当する場合は、CPUモジュールのファームウェアバージョンを点検し、バージョン48以下であればファームウェアを49以上に更新する必要があります。三菱電機が公開しているPSIRTアドバイザリ(PDF)に、更新ファイルのダウンロード手順と対応方法が記載されていますので、保守担当者と連携して速やかに対応を進めてください。

ファームウェア更新が即座に実施できない場合の暫定対策として、以下の3点が推奨されています。第一に、PLCが接続されているネットワークをインターネットや社内ITネットワークから分離し、外部からのアクセスを遮断すること。第二に、やむを得ずリモートアクセスが必要な場合はVPN等の暗号化通信を利用すること。第三に、ファイアウォールやIPフィルタ機能を活用し、信頼できないネットワークやホストからの通信をブロックすることです。

さらに中長期的には、OT資産の可視化と脆弱性管理の仕組みを整えることが不可欠です。CISAのICSアドバイザリを定期的に確認する体制を設け、機器の型番、設置ライン、ファームウェアバージョンの3点を最低限記録した資産台帳を整備しておくことで、新たな脆弱性が公開された際に該当の有無を即座に判断でき、対応速度が大幅に向上します。

まとめ

今回の脆弱性の本質は、PLCの通信プロトコル処理における入力値検証の不備です。世界中で使われている三菱電機のフラッグシップPLCに対する脆弱性であり、影響範囲の広さという点で注目すべきニュースといえます。OT環境は「止められない」からこそ、事前の備えが何より重要になります。ファームウェア更新とネットワーク分離を軸にした即時対応と、資産台帳の整備やICSアドバイザリの定期確認といった継続的な取り組みの両方が求められます。

「工場のセキュリティ対策を進めたいが、OTとITの両方がわかる人材がいない」「FA機器の脆弱性管理をどう仕組み化すればよいかわからない」とお感じの方は、ぜひGXOにご相談ください。GXOはセキュリティ事業としてSIEM/SOARの導入からSOC運用、インシデント対応まで一気通貫で支援しており、180社以上の支援実績があります。OT環境の可視化から脆弱性管理の運用設計まで、具体的な改善ステップを無料相談で整理することが可能です。

お問い合わせはこちら

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了

同じカテゴリ【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

【n8n脆弱性】CVE-2026-21858(Ni8mare)とは?CVSS 10.0の影響と今すぐ取るべき対策

2026年1月13日 · 8分で読了

同じカテゴリChrome脆弱性CVE-2026-0628が問いかける「企業のセキュリティ体制」の本質

Chrome脆弱性CVE-2026-0628が問いかける「企業のセキュリティ体制」の本質

2026年1月12日 · 9分で読了