【活用ガイド】

JVNDB-2024-010932

三菱電機製GENESIS64、ICONICS Suite、MC Works64およびGENESIS32におけるインストール時の不適切なファイルアクセス権設定の脆弱性

概要

三菱電機製GENESIS64、ICONICS Suite、MC Works64およびGENESIS32には、インストール時の不適切なファイルアクセス権設定の脆弱性(CWE-276、CVE-2024-7587)が存在します。

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.8 (重要) [その他]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


三菱電機
  • GENESIS32 Version 9.70.300.23およびそれ以前の全バージョン
  • GENESIS64 Version 10.97.3 およびそれ以前の全バージョン
  • ICONICS Suite Version 10.97.3 およびそれ以前の全バージョン
  • MC Works64 全バージョン

バージョンの確認方法等の詳細は、開発者が提供する情報を確認してください。
想定される影響

該当製品のインストーラに同梱されているGenBroker32が、GENESIS64、ICONICS Suite、MC Works64またはGENESIS32と同一のPCにインストールされている場合、攻撃者によってC:\ProgramData\ICONICSにアクセスされると、当該フォルダに保存されている機密情報やデータが漏えいまたは改ざんされたり、システムがサービス運用妨害(DoS)状態となったりする可能性があります。
対策

[アップデートする]
GENESIS64またはICONICS Suite Version 10.97.3のユーザ向け:
GenBroker32をアンインストールした上で、GENESIS64またはICONICS Suiteにセキュリティアップデートを適用し、GenBroker32を再インストールしてください。
セキュリティアップデートは、ICONICS Community Portalからダウンロードできます。

[アップグレードする]
GENESIS64またはICONICS Suite Version 10.97.2およびそれ以前のユーザ向け:
GENESIS64またはICONICS Suite Version 10.97.3に製品をアップグレードし、上記の手順に従いGenBroker32を再インストールしてください。

[後続製品に移行する]
MC Works64のユーザ向け:
セキュリティアップデートのリリース予定はないため、開発者はGENESIS64への移行を推奨しています。
移行方法等詳細については、GENESIS64 - How to replace MC Works64 with GENESIS64_JPを確認してください。

GENESIS32のユーザ向け:
セキュリティアップデートのリリース予定はないため、開発者はGENESIS64への移行を推奨しています。

[ワークアラウンドを実施する]
セキュリティアップデートの適用、アップグレード、後続製品への移行が難しい場合には、次の回避策および軽減策を適用してください。

回避策:
GenBroker32をインストールしたPCのC:\ProgramData\ICONICSおよびその配下にある全てのフォルダの権限から”Everyone”を手動で削除してください。配下にあるフォルダも含めて、一括で権限を削除する場合は以下の手順を実施してください。

PCのC:\ProgramData\ICONICSのフォルダを右クリックしてプロパティ画面を開く
セキュリティタブを開く
詳細設定をクリックする
アクセス許可の変更をクリックする
“Everyone”を選択して、「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトから継承可能なアクセス許可エントリで置き換える」のチェックボックスにチェックを入れる
削除をクリックする
軽減策:
該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等を使用し、信頼できるユーザのみにリモートログインを許可する
当該製品がインストールされたPC、および同PCが接続されているネットワークへの物理的なアクセスを制限する
詳しくは、開発者が提供する情報を確認してください。
ベンダ情報

三菱電機
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切なデフォルトパーミッション(CWE-276) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2024-7587
参考情報

  1. JVN : JVNVU#95548104
  2. National Vulnerability Database (NVD) : CVE-2024-7587
  3. ICS-CERT ADVISORY : ICSA-24-296-01
更新履歴

  • [2024年10月23日]
      掲載
  • [2025年09月05日]
      対策:内容を更新
      参考情報:National Vulnerability Database (NVD) (CVE-2024-7587) を追加
  • [2026年01月09日]
      タイトル:内容を更新
      概要:内容を更新
      影響を受けるシステム:内容を更新
      想定される影響:内容を更新
      対策:内容を更新
      ベンダ情報:三菱電機 (GENESIS64 および MC Works64 における情報の漏えい、改ざんおよびサービス拒否 (DoS) の脆弱性) を削除
      ベンダ情報:三菱電機 (GENESIS64、ICONICS Suite、MC Works64およびGENESIS32における情報の漏えい、改ざんおよびサービス拒否(DoS)の脆弱性) を追加

公表日2024/10/22
登録日2024/10/23
最終更新日2026/01/09