Johnson Controls iSTARにおける重大なスタックベースのバッファオーバーフロー脆弱性 (CVE-2026-XXXX)

Johnson Controls iSTARアクセス制御システムにおける重大なスタックベースのバッファオーバーフロー脆弱性

マドリード（スペイン） – 2026年1月23日 – INCIBE-CERTは、Johnson Controls iSTARアクセス制御システムに存在する重大なスタックベースのバッファオーバーフロー脆弱性に関する早期警告を発表しました。この脆弱性はCVE-2026-XXXXとして追跡されており、物理セキュリティインフラに依存する組織にとって重大なリスクをもたらします。

技術的詳細

この脆弱性は、iSTARファームウェアにおける不適切な入力検証に起因し、攻撃者が特別に細工されたネットワークパケットを送信することでスタックベースのバッファオーバーフローを引き起こす可能性があります。悪用に成功した場合、以下の影響が考えられます：

• **リモートコード実行（RCE）**による権限昇格
• **サービス拒否（DoS）**状態の発生
• 不正アクセスによる施設制御システムへの侵入

ベンダーからのパッチ提供を待つ間、具体的な技術的詳細は限定されていますが、認証なしで悪用可能なこの脆弱性は、高リスクに分類されています。Johnson Controls iSTARシステムは、医療、政府、商業施設などの重要インフラ分野で広く導入されています。

影響分析

この脆弱性により、組織は以下のリスクにさらされます：

• アクセス制御システムの侵害による物理セキュリティの突破
• 接続されたOT/ITネットワークへのラテラルムーブメント
• NIST SP 800-82やIEC 62443などのフレームワークに基づくコンプライアンス違反

INCIBE-CERTは、現時点でこの脆弱性が野放しに悪用された事例を確認していませんが、その重大性から早急な対策を推奨しています。

推奨対策

セキュリティチームは以下の対策を実施してください：

1. パッチが提供されるまで、iSTARデバイスを信頼できないネットワークから隔離する
2. iSTARコントローラーを標的とした異常なネットワークトラフィックを監視する
3. ベンダーからのアップデートがリリースされたら即座に適用する
4. 不正な設定変更の兆候がないかアクセスログを確認する
5. 重要な物理セキュリティシステムの露出を制限するためにネットワークをセグメント化する

Johnson Controlsは通知を受けており、ファームウェアアップデートのリリースが予定されています。詳細が明らかになり次第、INCIBE-CERTからさらなる情報が提供される予定です。詳細は、元のアドバイザリを参照してください。

本件は進行中のニュースです。新たな情報が入り次第、更新します。