国内のセキュリティインシデント調整機関であるJPCERT/CCは2026年6月19日、三菱電機製の汎用シーケンサ「MELSEC iQ-Fシリーズ」の通信ユニットである「FX5-EIP」および「FX5-ENET/IP」における脆弱性を、脆弱性情報ポータルサイトJVN（識別番号：JVNVU#97140216）として公開しました。

今回指摘された脆弱性が悪用された場合、システムが外部からの不正な通信処理などによって過負荷に陥り、サービス運用妨害（DoS）状態が発生する可能性があります。制御システムにおけるDoS状態は、生産ラインの急停止や監視制御の不能に直結するため、対象機器を運用している企業にとっては極めて警戒すべき情報です。

今回公表された脆弱性は、影響を受ける製品（ユニット）および原因となるバグの種類によって、以下の2つの共通脆弱性識別子（CVE）に分類されています。

• CVE-2026-8805：MELSEC iQ-Fシリーズ FX5-EIP形EtherNet/IPユニットの「FX5-EIP Ver.1.000およびそれ以前」が対象です。
• CVE-2026-8806：MELSEC iQ-Fシリーズ FX5-ENET/IP形Ethernetユニットの「FX5-ENET/IP 全バージョン」が対象です。

それぞれの脆弱性が生じるメカニズムと具体的なリスクは次の通りです。

【CVE-2026-8805：整数オーバーフローまたはラップアラウンドの脆弱性（CWE-190）】
この脆弱性を持つユニットに対して、短時間に大量のTCPコネクションを確立するような通信が行われると、内部のコネクション管理処理においてデータの不整合や不正なメモリアクセスが発生します。その結果、ユニット自体の処理がクラッシュし、サービス運用妨害（DoS）状態に陥ります。

【CVE-2026-8806：サービス運用妨害状態に至る可能性のある脆弱性（CWE-440）】
こちらは、短時間に大量の通信パケットを継続的に送信されることで引き起こされる脆弱性です。過剰なパケットが送り込まれると、ユニットの処理負荷が異常に増大し、システム内の異常検知を司る内部処理が機能しなくなります。最終的には通信機能そのものが停止し、同じくDoS状態が発生してしまいます。

今回の発表において、現場のIT担当者や設備管理者が最も注意しなければならないのは、「製品によってメーカー側の対応方針（対策方法）が異なる」という点です。

まず「CVE-2026-8805（FX5-EIP）」向けの対策としては、三菱電機から提供される独自の対策済バージョンへのアップデートが推奨されています。システムを最新の状態に更新するとともに、開発者が提示する軽減策・回避策を速やかに適用することが求められます。

一方で、より深刻なのは「CVE-2026-8806（FX5-ENET/IP）」のケースです。開発者（三菱電機）によると、こちらのモデルに関しては今後の対策版（修正アップデート）のリリース予定はありません。そのため、製品の利用者はアップデートに頼るのではなく、メーカー側が推奨している「軽減策や回避策（ワークアラウンド）」を自らの手で適用し、システムを防御する必要があります。

本件は、製品の製造元である三菱電機が、自社製品の利用者が安全に運用できるよう周知することを目的に、自らJPCERT/CCに報告を行ったことで公表に至りました。その後、JPCERT/CCが開発者との間で技術的な調整を丁寧に行い、今回の公式アナウンスとして公開されています。

2件の脆弱性のうち、一方はプログラムの書き換えによる根本対策が可能ですが、もう一方はアップデートが予定されていないため、現場での適切なネットワーク隔離やアクセス制限といった運用上のワークアラウンドが必須です。対象製品を工場やインフラ施設等で稼働させているユーザーは、開発者が提供する最新のセキュリティ情報を必ず直接確認し、自社の環境に合わせた速やかなリスク評価を行ってください。