Packet Pilot X (Twitter)
2025-11-30

CISAがOpenPLC ScadaBRのXSS脆弱性CVE-2021-26829をKEVに追加

アメリカ合衆国のサイバーセキュリティおよびインフラセキュリティ庁(CISA)は、OpenPLC ScadaBRに影響を与えるCVE-2021-26829というクロスサイトスクリプティング(XSS)脆弱性を、既知の悪用脆弱性(KEV)カタログに追加しました。この脆弱性は、WindowsおよびLinuxの特定のバージョンに影響を及ぼし、実際に悪用されている証拠が確認されています。特に、ロシアのハクティビストグループ「TwoNet」がこの脆弱性を利用して、偽の水処理施設を攻撃した事例が報告されています。CISAは、連邦政府機関に対し、2025年12月19日までに必要な修正を適用するよう求めています。

メトリクス

このニュースのスケール度合い

5.0 /10

インパクト

6.0 /10

予想外またはユニーク度

6.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

9.5 /10

主なポイント

  • CISAは、OpenPLC ScadaBRに影響を与えるCVE-2021-26829をKEVに追加しました。
  • TwoNetというハクティビストグループがこの脆弱性を利用して攻撃を行った事例が報告されています。

社会的影響

  • ! この脆弱性の悪用は、重要なインフラに対する攻撃のリスクを高め、社会全体の安全性に影響を与える可能性があります。
  • ! ハクティビストグループの活動が活発化することで、企業や公共機関はセキュリティ対策を強化する必要があります。

編集長の意見

CVE-2021-26829の悪用は、特に重要なインフラに対する脅威を示しています。この脆弱性は、攻撃者がシステムに対して迅速にアクセスし、悪意のある行動を取ることを可能にします。TwoNetのようなハクティビストグループがこの脆弱性を利用することで、産業システムへの攻撃が現実のものとなり、社会全体に深刻な影響を及ぼす可能性があります。特に、重要なインフラがターゲットとなる場合、システムの安全性が脅かされることになります。今後、企業や政府機関は、こうした脆弱性に対する対策を強化し、迅速に修正を適用することが求められます。また、セキュリティ教育を通じて、従業員の意識を高めることも重要です。さらに、CISAが示すように、連邦機関は脆弱性の修正を迅速に行う必要があります。これにより、攻撃のリスクを軽減し、社会全体の安全性を向上させることができるでしょう。

解説

CISAがCVE-2021-26829(OpenPLC ScadaBRのXSS)をKEVに追加—“中程度のWebバグ”がOTでは運転リスクに直結します

今日の深掘りポイント

  • XSSでもOTでは運転影響に直結する設計・運用の特性があり、現実の悪用が報告されている以上、早期の是正が不可欠です。
  • 期限付きでKEVに指定されたことで、仮にパッチ困難な環境でも「仮想パッチ(WAF)+分離+最少権限」で運転継続を図る判断軸が必要です。
  • ハクティビストのTTPは単純化・自動化が進み、HMI改ざんやオペレータ妨害の心理的効果が大きい点に注目すべきです。
  • 攻撃経路はWeb層に見えても、セッション乗っ取りを起点に制御命令の送出へ連鎖しやすいことから、MITRE ATT&CK(EnterpriseとICS)をまたぐ防御姿勢が要ります。

はじめに

米CISAがOpenPLC ScadaBRに影響するXSS脆弱性CVE-2021-26829を、既知の悪用脆弱性(Known Exploited Vulnerabilities, KEV)カタログに追加しました。報道では、ロシア系ハクティビスト「TwoNet」による悪用事例が示され、連邦機関に対し修正期限が設定されています。対象がWeb UIに起因するXSSであっても、OT/HMIのコンテキストでは運転影響を引き起こす現実的な経路が複数成立します。CISOやSOCは「Webアプリ脆弱性=IT領域」という固定観念を捨て、OTに接続されたHMI/SCADAのWeb面を“優先度高”で扱うべき局面です。

参考:

  • CISA Known Exploited Vulnerabilities Catalog(KEV): https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • CISA Binding Operational Directive 22-01(KEV是正の根拠指令): https://www.cisa.gov/directives/bod-22-01
  • 報道(The Hacker News): https://thehackernews.com/2025/11/cisa-adds-actively-exploited-xss-bug.html

深掘り詳細

事実関係(何が起きたか)

  • CISAはOpenPLC ScadaBRにおけるXSS脆弱性CVE-2021-26829をKEVに追加し、現実の悪用が確認されているとしています。連邦機関には具体的な是正期限が提示されています(報道ベース)です。
  • 報道では、ハクティビストグループ「TwoNet」が当該XSSを用い、HMIページの改ざんや設定変更に至ったとされる事例が示されています。対象は水処理分野の“模擬”施設という記述ですが、TTPとしては実運用環境で再現可能なものです。
  • KEV入りは、「悪用の現実性が高く、攻撃者にとってコスト対効果の良い脆弱性である」ことの行政的シグナルです。BOD 22-01の枠組みにより、米連邦機関は期限遵守が義務づけられ、同様の資産を持つ民間・他国組織にも強い示唆を与えます。

出典:

  • CISA KEV(総覧): https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • BOD 22-01: https://www.cisa.gov/directives/bod-22-01
  • 報道(TwoNet悪用の言及を含む): https://thehackernews.com/2025/11/cisa-adds-actively-exploited-xss-bug.html

編集部の視点(なぜ“XSS”がOTで致命傷になるか)

  • セッション・権限の集中: 多くのOT/HMIは管理者相当の広い権限がブラウザセッションに紐づく設計で、XSSはCookie/トークン窃取、DOM操作、あるいはCSRF連鎖を通じて「正規権限での設定変更」に直結します。ITの“情報改ざん”にとどまらず、制御変更まで到達しうる点が本質です。
  • 可用性優先の慣行: 長時間ログイン、広いネットワーク到達性、自動リフレッシュなど、運転上の利便性が防御面の弱さに転化します。XSSが“常時表示”のコンソールで発火し続けると、オペレータの可視性・判断に持続的な悪影響を与えます。
  • 低コスト・高可視化のハクティビズム: 画面改ざんや偽情報の提示は、プロセス影響の前段として社会的・心理的効果が大きいです。単純なスクリプトキディ水準でも実行可能で、攻撃の敷居が低い割にニュース化しやすい“見栄えのする被害”になりやすいです。
  • “中程度CVSS”の誤認: XSSはベーススコア上、重大ではないと誤認されがちですが、HMIという業務上の“特権UI”を踏み台にできるため、運転リスク換算では高インパクトになりえます。今回のKEV指定は、まさにこのギャップを埋める行政的な優先度シグナルです。

全体として、本件は緊急性・実効的な対策可能性が高い案件で、現場がすぐ着手できる“運用で塞げる穴”が多いです。一方、ポジティブ材料は限定的で、未対策のまま時間経過させるほど攻撃の確度が上がるタイプと評価します。

脅威シナリオと影響

以下は編集部の仮説に基づくシナリオで、MITRE ATT&CK(EnterpriseおよびICSの戦術)に沿って記述します。実案件と異なる可能性があるため、貴組織のアーキテクチャに合わせて評価してください。

  • シナリオ1: HMIに対する格納型XSSからのセッション乗っ取り

    • 経路: センサ名/タグ名/アラームメッセージなどに仕込まれたスクリプトがHMIに表示され発火 → オペレータのWebセッションCookie/トークン窃取 → 正規権限で設定変更
    • ATT&CK:
      • Initial Access: Exploit Public-Facing Application(Enterprise)
      • Credential Access: Steal Web Session Cookie(Enterprise)
      • Impact(ICS): Manipulation of Control、Inhibit Response Function
    • 影響: 薬注量・ポンプ速度の不正変更、アラーム抑止、誤情報表示による運転判断の撹乱です。

  • シナリオ2: 外部ページ経由のCSRFによる設定変更

    • 経路: オペレータが閲覧した外部サイトからHMIへのCSRFリクエスト送出(同一ネットワーク上/既存セッション流用) → コンフィグ書き換えやユーザ追加
    • ATT&CK:
      • Initial Access: Drive-by Compromise(Enterprise)
      • Defense Evasion/Execution: User Execution(Enterprise)
      • Impact(ICS): Modify Control Logic/Parameters
    • 影響: 権限昇格、持続的改ざんの足掛かり、後続の横展開です。

  • シナリオ3: 画面改ざんによる誤誘導と復旧遅延

    • 経路: XSSでDOMを書き換え、正常値を偽装表示 → 現場対応の遅延/誤判断
    • ATT&CK:
      • Collection/Defense Evasion: Input Capture/Obfuscated/Stored Content(Enterprise)
      • Impact(ICS): Impair Process Control、Denial of View
    • 影響: 実害のトリガにならずとも、復旧や原因特定を遅延させ、攻撃者に“静かな時間”を与える結果になります。

  • シナリオ4: IT-OTピボットの出発点

    • 経路: HMI端末のブラウザ権限でローカル資産の探索、認証情報収集、ジャンプサーバ経由でIT側へ横展開
    • ATT&CK:
      • Discovery/Lateral Movement(Enterprise)
      • Impact(ICS): Loss of Productivity and Revenue
    • 影響: OTだけでなく企業全体の業務停止や身代金要求の複合リスクに接続します。

セキュリティ担当者のアクション

“今日やること”と“計画的にやること”を分け、パッチ困難なOT前提でも効果が出る順に並べます。

  • 即日(48時間以内)

    • 資産特定と露出確認
      • HMI/SCADAサーバでOpenPLC ScadaBRの稼働有無・バージョン・公開状態(DMZ/インターネット露出/社内のみ)を棚卸します。
      • 外部からの到達性(リバースプロキシ/WAF/ポート)を確認し、不要な公開を閉塞します。
    • 仮想パッチとヘッダ強化
      • WAF/リバプロで明示的にスクリプト挿入パターンをブロックし、管理UIはソースIP/クライアント証明書でホワイトリスト化します。
      • Webヘッダを強化します(CSP with nonce/strict-dynamic、X-Frame-Options/SameSite=Lax or Strict、HttpOnly/Secure Cookie)。CSRFトークン未実装の場合は管理操作を当面ネットワーク的に遮断し、運用代替手順を準備します。
    • 認証・セッションの引き締め
      • 管理者アカウントのパスワード即時変更、MFAが可能なら管理UIに適用します。
      • セッション有効期限短縮、同時ログイン制限、アイドルタイムアウトを最大限に厳格化します。
    • 監視の即応強化
      • Webサーバログに対する簡易IOC: