三菱電機軟體產品資訊安全說明

攝陽企業股份有限公司

2022年12月12日

針對近期網路新聞報導關於三菱電機部分FA工程編輯軟體產品可能因惡意攻擊衍生資訊安全疑慮，因其相關風險僅限在工程軟體GX WORKS3而不是硬體，主要是安全程式密碼鎖定後有被破解疑慮導致安全認證失效問題，目前透過軟體升級可以修補改善。另報導所指其安全PLC亦僅指特定型號(” R08SFCPU、R16SFCPU、R32SFCPU、R120SFCPU”)，三菱電機並於2022年11月起即陸續展開相關對策說明 。

※ 建議用戶注意並進行下方措施

①　升級GX WORKS3軟體至Ver1.090U版本。

②　自OPC UA 用戶至 MELSEC iQ-R 系列 OPC UA 伺服模組連接的授權，請使用「授權書認證」，並非以「用戶名／密碼認證」的功能執行。

③　為防止第三方惡意取得電腦／伺服內的程式檔案、安全碼及該產品安裝的檔案設定，請勿連線不信任的網域或網路主機。

④　請在使用該產品的電腦上安裝防毒軟體。

⑤　以網路傳送程式檔案或安全碼時，請務必將其檔案設定密碼。

※ 相關情報

•  ICS Advisory (ICSA-22-333-05) Mitsubishi Electric FA Engineering Software

            Mitsubishi Electric FA Engineering Software | CISA 

• 軟體升級下載檔案網址

               エンジニアリングソフトウェア シーケンサ MELSEC 制御機器 ダウンロード ｜三菱電機 FA (mitsubishielectric.co.jp)

• 產品安全相關情報公告於三菱網站

            https://www.mitsubishielectric.co.jp/psirt/index.html