Chargemap充電ステーションの重大な脆弱性が管理者権限のリスクを露呈

Chargemap充電ステーションの重大な脆弱性が不正な管理者アクセスを可能に

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Chargemapの電気自動車（EV）充電ステーションに存在する複数の重大な脆弱性を公表しました。これらの脆弱性により、脅威アクターが不正な管理者権限の取得や、サービス拒否（DoS）攻撃による充電サービスの妨害が可能になる恐れがあります。このアドバイザリは、ICSA-26-057-05として公開され、重要インフラセクターにおける運用技術（OT）環境へのリスクが強調されています。

技術的詳細

これらの脆弱性は、Chargemap充電ステーションの特定のファームウェアバージョン（アドバイザリでは具体的なバージョンは伏せられています）に影響を及ぼします。攻撃者がこれらの脆弱性を悪用した場合、以下のような行為が可能になります：

• 認証なしで管理者権限への権限昇格。
• 脆弱なデバイス上での任意コマンドの実行。
• DoS状態の誘発による充電操作の停止。

CISAのアドバイザリでは、共通セキュリティアドバイザリフレームワーク（CSAF）の技術仕様書が参照されており、詳細はこちらで確認できます。CVE IDはまだ割り当てられていませんが（アドバイザリではCVE-2026-XXXXと記載）、これらの脆弱性は物理インフラへの潜在的な影響から高重大度に分類されています。

影響分析

Chargemap充電ステーションは、公共および民間のEV充電ネットワークに広く展開されており、交通ハブ、医療施設、政府施設などの重要インフラサイトでも利用されています。これらの脆弱性が悪用されると、以下のような影響が生じる可能性があります：

• EV充電サービスの混乱による運用停止や経済的損失。
• 接続されたOTまたはITネットワークへのラテラルムーブメントの可能性。
• 充電ステーションの制御を操作することによる物理的セキュリティリスク（例：回路の過負荷）。

推奨対策

CISAは組織に対して以下の対策を強く推奨しています：

1. Chargemapがファームウェアアップデートを公開次第、即座にパッチを適用（CISAのアドバイザリを監視）。
2. 緩和策が適用されるまで、充電ステーションを企業ネットワークから隔離。
3. 不正アクセスの試みや異常なコマンド実行などの不審な活動を監視。
4. CSAFドキュメントを確認し、侵害の痕跡（IoC）や緩和策を把握。

これらの脆弱性は、攻撃の複雑性が低く、重要インフラへの潜在的な影響が大きいため、セキュリティチームは優先的に対処する必要があります。CVEの割り当てを含む詳細情報は、CISAのアドバイザリが更新され次第提供される予定です。