米国のサイバーセキュリティ当局CISA（Cybersecurity and Infrastructure Security Agency）は、産業用制御システム向けソフトウェア「OpenPLC ScadaBR」のクロスサイトスクリプティング（XSS）脆弱性CVE-2021-26829を、「既知の悪用脆弱性カタログ（KEV）」に追加したと報告しています。Forescoutによるハニーポット観測では、この脆弱性がプロロシア系ハクティビスト「TwoNet」によって実際に攻撃に利用された事例も確認されており、さらに別の脆弱性CVE-2021-26828も後日KEVに追加されています。産業制御システムにおけるWebベースHMIのリスクが、あらためて浮き彫りになった形です。

The Hacker News：CISA Adds Actively Exploited XSS Bug CVE-2021-26829 in OpenPLC ScadaBR to KEV

この記事のポイント

影響のあるシステム

• 産業用制御システム向けソフトウェア「OpenPLC ScadaBR」
• Windows版：バージョン1.12.4まで（CISAが影響範囲としています）
• Linux版：バージョン0.9.1まで（CISAが影響範囲としています）
• 認証済みユーザーがview_edit.shtm経由で危険なJSPファイルをアップロード可能となるCVE-2021-26828を抱えたOpenPLC ScadaBR
• インターネットから到達可能な産業用HMI（ヒューマンマシンインターフェース）やWeb管理画面を備えたOT/ICS環境
• 米国連邦政府機関（FCEB）など、CISAのKEVに基づき修正期限が課される組織

推奨される対策

• 自社でOpenPLC ScadaBRを利用しているかを棚卸しし、Windows版1.12.4以前、Linux版0.9.1以前が残っていないか確認する
• CISAが示すとおり、ベンダーの手順に従ってCVE-2021-26829およびCVE-2021-26828に対する修正や緩和策を適用することが推奨されます
• HMIやWeb管理画面でデフォルト認証情報を使用していないか確認し、強固な固有パスワードへの変更と権限の見直しを行う
• 攻撃者が実際にログとアラームを無効化していた事例を踏まえ、ログ取得とアラート設定が適切に機能しているかを点検する
• インターネット経由でアクセス可能なICS関連Webサービスについて、不審なHTTPリクエストや外部OASTドメインへの通信がないか監視を強化する

上記の対策は、元記事に記載された事実（脆弱性内容・攻撃手法・CISAの要求事項など）に基づき、日本の組織向けに整理したものです。

OpenPLC ScadaBRの2つの脆弱性とCISA KEV登録の概要

米CISAは、OpenPLC ScadaBRに存在する脆弱性CVE-2021-26829を、既知の悪用脆弱性カタログ（KEV）に追加したと公表しています。CVE-2021-26829はCVSSスコア5.4と評価されるクロスサイトスクリプティング（XSS）脆弱性で、Windows版およびLinux版のsystem_settings.shtmが影響を受けると説明されています。具体的には、Windowsではバージョン1.12.4まで、Linuxではバージョン0.9.1までのOpenPLC ScadaBRが影響範囲として挙げられており、これらのバージョンでは攻撃者が不正なスクリプトを埋め込める可能性があるとされています。

このXSS脆弱性は、単に「Web画面が改ざんされる」というだけでなく、オペレーターが利用するHMIログインページに悪意ある表示を行う足がかりにもなり得ます。元記事では、攻撃者がログインページの説明文を改ざんし、「Hacked by Barlati」というポップアップメッセージを表示させた事例が挙げられており、産業用システムの画面であっても一般的なWebアプリケーションと同様のXSSリスクを抱えていることが示されています。

さらに、CISAは後日、OpenPLC ScadaBRに存在するもう一つの脆弱性CVE-2021-26828もKEVに追加したと発表しています。こちらはCVSSスコア8.8とされる高リスクの問題で、view_edit.shtmを通じて危険な種類のファイルを制限なくアップロードできてしまう「危険な型のファイルのアップロード」脆弱性と説明されています。（※このCVE-2021-26828の悪用は、同レポート内でTwoNetの活動とは結びつかない別のロシア系IPアドレスからの活動として観測されている）認証済みのリモートユーザーが任意のJSPファイルをアップロードし、サーバー上で実行できるようになるため、Webシェル設置による侵害につながるおそれがあります。CISAは、連邦政府機関に対して、CVE-2021-26829については2025年12月19日までに、CVE-2021-26828については2025年12月24日までにベンダーの手順に従った修正や緩和策を適用するよう求めており、実運用環境でも早急な対応が重要とされています。

産業用制御システムに使われるソフトウェアであっても、今回のようにWebベースの管理画面や設定画面を提供するものは、一般的なWebアプリケーションと同様にXSSやファイルアップロードの脆弱性を抱え得ることが示されています。日本国内でもOT/ICS環境に対してインターネット経由でアクセスできる構成を採用しているケースが見られるため、OpenPLC ScadaBRの利用有無にかかわらず、同様のアーキテクチャを取っているシステムでは、今回の事例を踏まえた見直しが求められる可能性があります。

TwoNetによるハニーポット攻撃とOASTインフラを悪用した広範なスキャン活動

【画像】地図とネットワーク回線を示す光のラインが重なった世界地図風の背景の上に、抽象化された警告アイコンやログ画面が浮かんでいる写真風イメージ、クラウドインフラとサイバー攻撃の関係を連想させるが文字やロゴは一切ない

元記事では、CVE-2021-26829が実際にどのように悪用されたのかを示す具体的なケースとして、Forescoutが運用するハニーポットへの攻撃事例が紹介されています。プロロシア系ハクティビストグループ「TwoNet」は、2025年9月にForescoutのハニープラントを水処理施設と誤認し、侵入から約26時間で妨害行為に至る一連の攻撃を行ったと報告されています。攻撃者はまずデフォルトの認証情報を用いてHMIにログインし、続いて「BARLATI」という新しいユーザーアカウントを作成して持続的なアクセスを確保したとされています。

その後、攻撃者はCVE-2021-26829のXSS脆弱性を利用し、HMIログインページの説明文を改ざんして「Hacked by Barlati」というポップアップメッセージを表示させました。さらに、システム設定を変更し、ログとアラームを無効化することで、運用者側の検知機能を意図的に弱体化させたと報告されています。重要な点として、Forescoutによれば攻撃者はホストOSの権限昇格や基盤サーバーのさらなる侵害には踏み込んでおらず、Webアプリケーション層に攻撃を集中させていたとされています。これは、ICS環境においてもWeb層だけを狙った攻撃で十分に妨害行為が可能であることを示す一例と言えます。

一方、VulnCheckは、Google Cloud上に設置された長期間稼働しているOAST（Out-of-Band Application Security Testing）エンドポイントが、地域特化型のエクスプロイト活動を支えているとする分析結果を公表しています。同社のインターネットセンサーが収集したデータによると、このインフラは主にブラジルを標的としており、200を超えるCVEにまたがる約1,400件のエクスプロイト試行が観測されたとされています。多くの活動はNucleiテンプレートに類似したパターンを示していたものの、攻撃者のホスティングの選び方やペイロード、ターゲット地域が一般的なOAST利用とは異なっていた点が指摘されています。

この活動では、標的の脆弱性を突いた後に、攻撃が成功したかどうかを確認するため、攻撃者が管理するOASTサブドメイン（「*.i-sh.detectors-testing[.]com」など）へのHTTPリクエストを送信させる手法が用いられていたと説明されています。関連するOASTコールバックは2024年11月まで遡って確認されており、短期的なキャンペーンではなく、1年程度続く持続的なスキャン活動とみられています。また、このインフラに紐づくIPアドレス（34.136.22[.]26）上には、「TouchFile.class」と呼ばれるJavaクラスファイルがホストされており、公開されているFastjsonのリモートコード実行エクスプロイトを拡張し、任意のコマンドやURLを受け付けて実行・外部へのHTTPリクエスト送信を行えるようになっていたと報告されています。

VulnCheckは、こうした活動が米国拠点のGoogle Cloudインフラから発信されている点を踏まえ、攻撃者が正規クラウドサービスを利用することで、ネットワーク監視上は通常のトラフィックに紛れ込みやすくなっていると指摘しています。さらに、Nucleiのような既製ツールとテンプレートを活用しながら、多数のCVEを一括してスキャンすることで、攻撃者がインターネット全体から脆弱な資産を素早く洗い出し、次のステップに進める状況が継続していると警鐘を鳴らしています。

日本の組織が直ちに確認すべきポイントと運用面での注意事項

今回CISAのKEVに追加された2つの脆弱性は、OpenPLC ScadaBRという特定製品に関するものですが、日本国内の組織にとっても無関係とは言えません。まず、自社や関連会社のOT/ICS環境でOpenPLC ScadaBRが利用されていないかを確認することが重要です。もし利用している場合、Windows版で1.12.4以前、Linux版で0.9.1以前のように、CVE-2021-26829の影響範囲に該当するバージョンが残っていないかを棚卸しし、ベンダーが提供する修正や緩和策を適用できるかを検討する必要があります。同様に、CVE-2021-26828についても、ベンダーの手順に従ってアップデートや構成変更を行えるかどうかを確認することが推奨されます。

Forescoutのハニーポット事例では、攻撃者がデフォルト認証情報を用いてログインした上で、新規ユーザーの作成やログ・アラームの無効化といった操作を行っていた点が注目されます。日本の事業者でも、OT/ICS環境は「閉じたネットワークだから大丈夫」という意識から、初期パスワードのまま運用してしまうケースが残っている可能性がありますが、今回の事例はこうした運用が攻撃者にとって格好の入口になり得ることを示しています。HMIやWeb管理画面について、デフォルト認証情報が残っていないか、不要な管理アカウントがないか、ログとアラートが適切に取得・通知されているかを改めて確認することが重要と考えられます。

また、VulnCheckが報告したOASTインフラを悪用した広範なスキャン活動は、クラウドサービス経由のトラフィックであっても安心できないことを示しています。攻撃者はGoogle Cloudなどの正規インフラを利用し、OASTドメインへのコールバックを用いてエクスプロイトの成否を確認しているとされており、通信ログ上は一見正当なクラウド通信に見える可能性があります。日本の組織においても、インターネット向けに公開しているWebアプリケーションやVPN、リモート管理インターフェースなどについて、既知のCVEに対するスキャンや不審なHTTPリクエストがないかを監視し、OASTサービスと思われるドメインへの予期しないアウトバウンド通信が発生していないかをチェックすることが求められる場面が増えていくと考えられます。

最後に、CISAのKEVカタログは米国連邦政府機関向けの義務的な対応リストである一方、世界中の組織にとっても「すでに実際の攻撃に使われている脆弱性」を把握するための有用な情報源になっています。日本企業においても、KEVに掲載されたCVEを優先度高く扱い、自社環境への影響有無を確認する運用を整えることで、限られたリソースの中でも効果的にリスク低減を図ることができると期待されます。OpenPLC ScadaBRの利用の有無にかかわらず、今回の事例をきっかけに、産業用システムのWebインターフェースやログ・監視のあり方を見直すことが、国内組織にとっても重要な一歩になり得ます。

参考文献・記事一覧

• The Hacker News
• CISA Known Exploited Vulnerabilities Catalog
• NVD: CVE-2021-26829
• CVE Program: CVE-2021-26828
• VulnCheck: Mystery OAST Endpoint

投稿者プロフィール

CyberCrew

CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

最新の投稿

• 2025.12.11React／Next.jsに最大深刻度の脆弱性、幅広いクラウド環境が影響下に
• 2025.12.10産業用OpenPLC ScadaBRに2つの既知悪用脆弱性、CVE-2021-26829とCVE-2021-26828がCISA KEV入り
• 2025.12.09430万インストールの拡張機能が監視ツール化　ShadyPanda攻撃とユーザーが取るべき対策
• 2025.12.08Albirioxマルウェア、400以上の金融アプリを狙う高度な不正操作型MaaS