Tridiumの産業用ソフト「Niagara AX Frameworka」に脆弱性、情報流出の恐れ

[鈴木聖子，ITmedia]

　ビルディングオートメーションなどの分野で使われている米Tridiumの産業用ソフトウェア「Niagara AX Frameworka」に脆弱性が報告され、米セキュリティ機関のICS-CERTが警告出して注意を呼び掛けている。

　ICS-CERTによると、セキュリティ研究者がNiagara AX Frameworkaについて、ディレクトリトラバーサルなど2件の脆弱性を発見し、この脆弱性を突いたコンセプト実証（PoC）コードを開発した。悪用された場合、情報が流出したり権限を昇格されたりする恐れがあるという。

　Niagara AX Frameworkaはエネルギー管理、ビルディングオートメーション、通信、セキュリティ自動化、照明管理などの分野で利用され、世界各国の30万カ所以上に導入されている。

　ICS-CERTは研究者やTridiumと協力して対応を進めていたが、Tridiumが問題を解決する前に脆弱性についての詳しい情報が公開されたことから、解決を待たずに7月13日付でアラートを出した。

　Tridiumは当面の攻撃を防ぐための回避策を紹介するとともに、脆弱性の修正を進めているという。