デルタの産業用PLCで重大なバグ3件を確認

出典：Alamy Stock Photo（genkur）

研究者らは、アジアの産業現場で広く使われているプログラマブル・ロジック・コントローラ（PLC）のあるブランドにおいて、深刻度「高」1件と深刻度「重大」3件の脆弱性を特定した。

台湾Delta ElectronicsのDVP-12SE11Tは、アジアのさまざまな重要分野で普及している低価格PLCで、水処理や食品・飲料の加工などで利用されている。2025年8月、OPSWATのUnit 515の研究者らが同機器の解析に着手し、その過程で深刻な脆弱性を4件発見した。そのうち3件は共通脆弱性評価システム（CVSS）で10点満点中9点を超える評価だった。

2026年の年明け直前、Delta Electronicsは顧客向けに4件すべての脆弱性に対するファームウェア修正を提供した。しかしPLCは性質上、運用ネットワークの奥深くに組み込まれており（中には24時間365日の稼働を前提に設計されたものもある）、すべての組織が近いうちにパッチを適用する意思や能力を持つとは限らない。

Dark Readingは本件についてDelta Electronicsにコメントを求めている。

Delta ElectronicsのPLCにおける重大な脆弱性

DVP-12SE11Tで新たに確認された脆弱性は4件ある：

OPSWATのUnit 515侵入テストチームリードであるLoc Nguyen氏は、PLCの脆弱性がもたらし得る恐ろしい結果を強調する。「こうした種類のコントローラは、単純なオペレーション、包装ライン、ロボット統合やサーボ[[<<STET ‘SERVOS,’ A ROBOTICS ENGINE TERM]]のような高速モーション制御で一般的に使われているため、ハッキングは物理プロセスに直接影響し得ます。デバイスの制御を奪った攻撃者は、安全でない状態を引き起こし、重傷や死亡に至る可能性すらあります」と同氏は述べる。

その辺のサイバー犯罪者が、OTネットワークの奥深くまで到達してPLCに触れるような攻撃を実行できないかもしれない。しかし国家レベルの攻撃者なら可能な者も多く、そしてどの国よりも「中国がこの領域で最大のプレイヤーです。特に台湾に対する戦略的利益と、より広いAPAC地域を考えればなおさらです」と、OPSWATの最高セキュリティ・戦略責任者であるMichael Arcamone氏は言う。「Deltaの本社が台北にあること、そしてPLCの製造が国内で行われている可能性が高いことが、リスクプロファイルをさらに押し上げます。Volt Typhoon、UNC3886、APT41といったグループは、環境に備わる正規機能を悪用する“Living-off-the-land”戦術を好むことから、OT関連の標的化やスキャンの有力候補です」と述べた。

PLCの脆弱性は本当に重要なのか？

重要、さらには安全上重要な産業プロセスにどれほど近く、どれほど大きな制御権を持つかを考えれば、PLCはOT担当者が保護すべき機器のリストで最優先だと想像するかもしれない。実際、Nguyen氏はベンダーに対し、Deltaのパッチを「合理的に可能な限り早く」適用するよう推奨している。ただし、その「可能」は対象となる産業サイトの性質によって大きく異なる。

しかしOTセキュリティ界隈では、議論の焦点はPLCの脆弱性そのものよりも、そもそもそれらの脆弱性が本当にそこまで重要なのか、という点に置かれることのほうが多い。

「一方で、PLCは物理プロセスを直接制御しているため、破壊工作の結果は深刻になり得ます」と、Waterfall Security Solutionsの産業セキュリティ担当バイスプレジデントであるAndrew Ginter氏は言う。「他方で、PLCは防御アーキテクチャの奥深くに置かれているはずで、到達が難しいように設計されています。偶然そうなっているわけではありません」。サイバーセキュリティ実務者は多層防御をよく口にするが、PLCは文字通り、その“深さ”によって（無視できない程度に）守られている。

「PLCは安全上重要であり、信頼性の面でも重要であることが多いため、テストの必要性もコストも非常に高いのです」とGinter氏は指摘する。「このため、セキュリティ更新は迅速に適用されないことが多く、場合によってはまったく適用されません。さらに悪いことに、多くのPLC通信は暗号化も認証もされていません。つまり、誤動作させるのに脆弱性を悪用する必要すらないのです。ネットワーク越しに接続して、間違った動作をするよう指示するだけでよいのです」

「これについては議論がたくさんあります」と同氏は言う。「激しい議論です」