ビル管理システムの遠隔操作が乗っ取られる？Honeywell製BMSコントローラに重大な認証不備

2026年3月27日、JPCERT/CCはHoneywell製のビル管理システム（BMS）用コントローラ「IQ4x BMS Controller」に、重要な機能に対する認証が不十分な脆弱性が存在すると報じました。この脆弱性を悪用されると、遠隔地の攻撃者によってシステムが乗っ取られる危険性があります。本記事では、影響範囲と具体的な対策について解説します。

遠隔から管理者権限を奪われる危険性

JPCERT/CCが公開した情報によると、この脆弱性は「重要な機能に対する認証の欠如（CWE-306）」に分類され、識別子はCVE-2026-3611が割り当てられています。具体的な想定される影響として、遠隔の攻撃者によって管理者権限のアカウントが作成され、正規のオペレーターが設定や管理機能へアクセスできなくなる可能性があると指摘されています。これは、ビルの空調、照明、電力などの制御を担うBMSの心臓部が、外部から不正に操作されるリスクを意味します。

影響を受ける製品とバージョン

この脆弱性の影響を受けるのは、以下のHoneywell製IQ4x BMS Controllerで、ファームウェアバージョンがv3.30より前のものです。

• Honeywell IQ4E Firmware v3.30より前のバージョン
• Honeywell IQ412 Firmware v3.30より前のバージョン
• Honeywell IQ422 Firmware v3.30より前のバージョン
• Honeywell IQ4NC Firmware v3.30より前のバージョン
• Honeywell IQ41x Firmware v3.30より前のバージョン

これらの製品を運用している場合は、速やかに現行のファームウェアバージョンを確認する必要があります。

対策：バージョン3.30以降への更新と設定確認

この脆弱性に対する対策は明確です。記事によれば、2015年6月にリリースされたバージョン3.30以降では、本脆弱性の影響を回避できる安全な設定を必須としています。したがって、影響を受けるバージョンを使用している場合は、可能な限り最新のファームウェアに更新することが最優先の対策となります。

更新後も、適切なセキュリティ設定が有効になっているか確認することが重要です。詳細な確認方法や設定については、米国CISA（Cybersecurity and Infrastructure Security Agency）が公開しているICS Advisory（ICSA-26-069-03）を参照するか、製品の開発元であるHoneywellに直接問い合わせることが推奨されています。

OT/IT融合時代のセキュリティ管理の重要性

今回の事例は、オフィスビルや商業施設など、私たちの身近な生活空間を支える制御システム（OT: Operational Technology）にもサイバー攻撃のリスクが及んでいることを示しています。一般的に、BMSのようなOT環境は長期間安定稼働が求められるため、ファームウェアの更新が後回しにされがちです。しかし、ネットワーク接続が当たり前となった現在、放置された古いシステムは重大なセキュリティホールになり得ます。

運用担当者は、自社が管理するすべての制御システムのインベントリ（資産管理リスト）を整備し、定期的にベンダーから提供されるセキュリティ情報をチェックする習慣を身につけることが不可欠です。特に、10年以上前から運用されているシステムについては、今回のように過去のアップデートで対策が講じられている可能性があるため、改めてバージョンと設定を見直す絶好の機会と言えるでしょう。