記事の3行要約
- AVEVA™ PI Serverにおけるサービス拒否の脆弱性に関するセキュリティ更新
- サーバクラッシュやメモリリークを引き起こす可能性のある脆弱性の詳細
- 対策として推奨される防御策やセキュリティアップデートの実施
AVEVA™ PI Serverの脆弱性対策と防御ガイド
AVEVA Group Limitedは2024年1月18日、AVEVA™ PI Serverの脆弱性に対処するためのセキュリティアップデートを発表した。[1]
このアップデートは2023年版および2018 SP3 P05以前のバージョンに影響を及ぼす2つの重要なサービス拒否の脆弱性に対応している。
1つ目の脆弱性は、未認証のユーザーがリモートでPIメッセージサブシステムをクラッシュさせ、サービス拒否を引き起こす可能性がある点。
2つ目の脆弱性は、同じく未認証のユーザーがメモリリークを引き起こし、PIデータアーカイブイベントの処理を妨げる可能性がある点。
AVEVAは影響を受ける製品を使用している顧客に対し、できるだけ早くセキュリティアップデートを適用することを推奨している。
防御策としては、PIメッセージサブシステムの自動再起動の設定、メモリ使用量の監視、信頼できるワークステーションとソフトウェアへのポート5450のアクセス制限などが挙げられている。
また、PIサーバーメッセージログへの書き込み権限を持つユーザーを限定することも推奨されているようだ。
OSIsoft技術サポートはアーキテクチャのアプローチ、バックアップ手順、ネットワーク防御、オペレーティングシステムの設定に関する指導を提供している。
セキュリティアップデートのダウンロードは、AVEVAおよびOSI Softのカスタマーポータルから可能なので、該当者はぜひチェックほしい。
trends編集部「K」の一言
AVEVA™ PI Serverの脆弱性は、未認証のユーザーによるサーバのクラッシュやメモリリークを可能にするため、産業制御システムのセキュリティに重大な脅威をもたらす可能性がある。
このような脆弱性はサイバー攻撃者による悪用のリスクを高め、組織の運用停止やデータ損失などの深刻な影響を引き起こすことが懸念される。
今回のセキュリティアップデートは、特に産業制御システムや重要インフラを運用する企業にとって、必要不可欠な対策となるだろう。
将来的にはより堅牢なセキュリティ機能、リアルタイムの脅威検出機能など新機能の追加を期待したい。
References
- ^ AVEVA. 「AVEVA - Global Leader in Industrial Software」. https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/Security_Bulletin_AVEVA-2024-001.pdf, (参照 24-01-23).
※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。
ITやプログラミングに関するコラム
3Dモデルを生成できるGPT「Tripo3D」を使ってみた。
【Python】タプルの基本操作!値の取り出しやスライス、ループの利用法を解説
プロンプトを共有できる便利サイト「プロンプト研究所」の使い方を徹底解説
【SNSで話題】AIでアバターを生成できる「HeyGen」の使い方と料金形態をくわしく解説
社内DXは重要?実施が難しい理由やその必要性を解説。社内DXに重要なポイントも紹介。
