公開日:2025/12/17 最終更新日:2025/12/17

JVNVU#99629801
三菱電機製GT Designer3におけるユーザー認証のための認証情報が平文で保存されている脆弱性

概要

三菱電機製GT Designer3では、ユーザー認証に使用される認証情報が平文で保存されています。

影響を受けるシステム

  • GT Designer3 Version1 (GOT2000) 全バージョン
  • GT Designer3 Version1 (GOT1000) 全バージョン

詳細情報

三菱電機株式会社が提供するGT Designer3では、ユーザーに応じてGOTの表示や操作に制限を加える機能が提供されていますが、ユーザ認証に使われる認証情報は当該プロジェクトファイル内に平文で保存されています(CWE-312、CVE-2025-11009)。

想定される影響

認証情報が設定されているプロジェクトファイルから、認証情報を取得される可能性があります。
その結果、取得された認証情報を用いて、GOT2000シリーズ又はGOT1000シリーズの製品を不正に操作される可能性があります。

対策方法

ワークアラウンドを実施する
本脆弱性を修正した対策版のリリース予定はありません。
そのため、開発者は次に示す軽減策・回避策を適用することを推奨しています。

  • 該当製品がインストールされたPCをLAN内で使用し、信頼できないネットワークやホスト、ユーザからのリモートログインをブロックする
  • 該当製品がインストールされたPCをインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)等で不正アクセスを防止したうえで、信頼できるユーザのみにリモートログインを許可する
  • 該当製品がインストールされたPCならびに同PCと通信可能なPCおよびネットワーク機器への物理的なアクセスを制限する
  • 信頼できないファイルを開いたり、信頼できないリンクをクリックしない
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 GT Designer3における情報漏えいの脆弱性

参考情報

  1. ICS Advisory | ICSA-25-350-04
    Mitsubishi Electric GT Designer3

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia