Airleader Masterコンプレッサーコントローラーに重大な任意ファイルアップロード脆弱性を発見

INCIBE-CERTがAirleader Masterに重大な任意ファイルアップロード脆弱性を特定

マドリード（スペイン） – 2026年2月13日 – スペイン国立サイバーセキュリティ機関（INCIBE-CERT）は、産業環境で広く使用されているコンプレッサーコントローラー「Airleader Master」に重大な任意ファイルアップロード脆弱性が存在することを警告しました。この脆弱性が悪用されると、攻撃者は悪意のあるファイルをアップロードし、影響を受けるシステム上で任意のコードを実行する可能性があります。

技術的詳細

この脆弱性は、Airleader Masterソフトウェアにおけるファイルアップロードの検証不足に起因します。ネットワークアクセスが可能な攻撃者は、この弱点を悪用して不正なファイルをアップロード・実行し、コンプレッサーコントローラーの制御権を奪取する恐れがあります。詳細な技術情報は限定的ですが、産業運用への潜在的な影響から、この脆弱性は**Critical（重大）**に分類されています。

• 影響を受ける製品: Airleader Master（コンプレッサーコントローラー）
• 脆弱性の種類: 任意ファイルアップロード（Unrestricted File Upload）
• 潜在的な影響: リモートコード実行（RCE）、不正なシステムアクセス
• 情報公開元: INCIBE-CERT（スペイン国立サイバーセキュリティ機関）

影響分析

Airleader Masterのような産業用制御システム（ICS）は、製造業、エネルギー業界などで重要な役割を果たしています。この脆弱性が悪用されると、以下のリスクが生じる可能性があります：

• 運用の混乱: コンプレッサー設定の不正変更や停止
• データ流出: 機密性の高い運用データや知的財産の窃取
• ラテラルムーブメント: 攻撃者が産業ネットワーク内の他のシステムに侵入

Airleader Masterは産業環境で広く利用されているため、組織は早急にリスク評価を行い、対策を講じることが求められています。

セキュリティチーム向け推奨対策

INCIBE-CERTは、リスク軽減のために以下の対策を推奨しています：

1. ネットワークアクセスの制限: Airleader Masterデバイスを信頼できるネットワークのみに公開
2. ベンダーパッチの適用: Airleader公式チャネルを監視し、セキュリティアップデートを即時適用
3. ネットワークのセグメンテーション: 産業用制御システムを企業ネットワークから分離し、攻撃対象領域を縮小
4. 不審な活動の監視: 不正なファイルアップロードやネットワークトラフィックを検知するための侵入検知/防御システム（IDS/IPS）を導入
5. アクセス制御の見直し: Airleader Masterデバイスへのアクセスを許可された担当者のみに制限

詳細については、INCIBE-CERTのアドバイザリを参照してください。

本件は進行中の事案です。新たな情報が入り次第、更新いたします。