お客様各位

現在、連邦情報セキュリティ局（BSI）が新たな警告レベルを発令していることは、日刊紙などでご存じかと思います。
BSIによると、広く使用されているJavaライブラリLog4jの重大な脆弱性（Log4Shell）は、極めて重大な脅威状況につながるとのことです。そのため、BSIは、既存のサイバーセキュリティ警告を警告レベル赤に格上げしました。この評価の理由は、影響を受ける製品が非常に広く使用されており、それに伴って他の無数の製品に影響が及ぶためです。

まず最初に、ZEISSグループがこのような警告を非常に真剣に受け止め、当社製品の安全性を可能な限り最優先していることに留意することが重要です。

しかし、BSIからの警告に関して、私たちはあなたを支援し、あなたの理解できる懸念を透明性をもって取り去りたいと思います。

現在、私たちの製品について言えることは。

- ZEISS製品がBSIの根本的な懸念にどの程度影響されるかについての調査は、日々の報道とは関係なく、ZEISSで常に行われているため、常に最新情報を得ることができます。
- 特に現在のZEISS IQSアプリケーションは、Javaをベースに開発されていないため、BSIが現在出しているセキュリティ警告の対象となるコンポーネントは含まれていません。
- もちろん、当社の継続的なセキュリティ分析の一環として、通常通りお客様に情報を提供します。
- 万が一、お客様ご自身でセキュリティ上の問題点を発見された場合は、速やかに弊社までお知らせください。

以下の製品については、（CVE-2021-44228）に対する脅威に関するBSIの見解に基づき、分析の結果、この点に関するリスクが存在する可能性を排除することができます（すべてを網羅するものではありません）。その理由は、当該製品に「Log4J」が実装されていないためです。

現在入手可能な知見によれば、BSIが発したセキュリティ警告に関連して、現在のリリースおよびそれらが含まれるサードパーティコンポーネントに脅威は存在しません。

解析対象製品は以下の通りです。

ZEISS ACCTee Pro
ZEISS AirSaver
ZEISS BLADE PRO
ZEISS CALIGO
ZEISS CALYPSO
ZEISS CMM-OS
ZEISS CMM-OS NEO
ZEISS FixAssist CT
ZEISS GEAR PRO
ZEISS iDA
ZEISS License Management Tool
ZEISS MCC
ZEISS METROTOM OS
ZEISS NEO pixel
ZEISS NEO select
ZEISS PiWeb
ZEISS PiWeb Cloud
ZEISS REVERSE ENGINEERING
ZEISS Smart Services Dashboard
ZEISS Stylus System Creator
ZEISS TEMPAR
ZEISS ZAPHIRE
ZEISS ABIS Softwarepakete
ZEISS ABIS Planner
ZEISS Intact 1200 /1600 Software
ZEISS Colin 3D
ZEISS T-Scan Collect (Interface)
ZEISS HOLOS
VISIO7
ZEISS SES viewer
ZEISS NEO viewer
NZDI
ZEISS CMM Agent
ZEISS DeviceActivator
ZEISS Tracer Service

測定機で使用しているC99ファームウェアは、Log4jライブラリを使用していません。したがって、このファームウェアが使用されているすべての測定機は、セキュリティギャップの影響を受けません。

このリストは完全なものではなく、対応する安全関連の分析を行った後、必要に応じて拡張される予定です。

本発表は、2022年01月12日12:00時点の状況をもとに作成したものです。

弊社製品サポートチーム（info .metrology .jp @zeiss .com）およびセキュリティ部門がお客様のご質問にお答えします。