公開日:2025/11/28 最終更新日:2025/11/28

JVNVU#95288056
三菱電機製GX Works 2におけるプロジェクトファイル保護のための認証情報が平文で保存される脆弱性

概要

三菱電機製GX Works 2では、プロジェクトファイルの保護に使用される認証情報が平文で保存されています。

影響を受けるシステム

  • GX Works2 全バージョン

詳細情報

三菱電機株式会社が提供するGX Works2では、ユーザ認証によってプロジェクトファイルを保護する機能が提供されていますが、ユーザ認証に使われる認証情報は当該プロジェクトファイル内に平文で保存されています(CWE-312、CVE-2025-3784)。

想定される影響

ユーザ認証を設定して保護されているプロジェクトファイル内の情報を閲覧されたり編集されたりする可能性があります。

対策方法

ワークアラウンドを実施する
開発者によると、本脆弱性に対策したバージョンを現在開発中とのことです。
対策バージョンのリリースまでの間、次に示す回避策・軽減策を適用することが推奨されています。

  • 該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
  • 該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
  • 該当製品がインストールされたPCならびに同PCと通信可能なPCおよびネットワーク機器への物理的なアクセスを制限する
  • プロジェクトファイルをインターネット経由で送受信する場合は、プロジェクトファイルを暗号化する
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 GX Works2における情報漏えいの脆弱性

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia