EV充電ステーションの重大な脆弱性が遠隔乗っ取りを可能に (ICSA-26-057-07)

CISAがEV充電ステーションの重大な脆弱性について警告

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、電気自動車（EV）充電ステーションに存在する複数の重大な脆弱性を公表しました。これらの脆弱性により、攻撃者が不正な管理者権限の取得や、サービス拒否（DoS）攻撃によるサービス妨害が可能になる恐れがあります。このアドバイザリICSA-26-057-07は、EVインフラにおける運用技術（OT）システムへのリスクを強調しています。

技術的詳細

CISAのアドバイザリは、完全な技術仕様についてはCSAFドキュメントを参照していますが、主な詳細は以下の通りです：

• 影響を受ける製品：特定バージョンのEV充電ステーションファームウェア（ベンダーとの調整中のため詳細は非公開）。
• 攻撃メカニズム：脆弱性は、認証回避、権限昇格、または不適切な入力検証に関連し、遠隔からの悪用が可能です。
• 影響：攻撃が成功した場合、脅威アクターは設定の変更、充電セッションの停止、または機密データの窃取が可能になります。

影響分析

EV充電ステーションは、スマートグリッドやフリート管理システムなどの重要インフラにますます統合されています。これらの脆弱性が悪用されると、以下のような影響が考えられます：

• エネルギー供給の混乱：DoS攻撃により、地域の電力網に過負荷がかかったり、商用フリート向けの充電サービスが停止する可能性があります。
• 物理的アクセス攻撃の実現：管理者権限の取得により、ハードウェアやファームウェアへの改ざんが可能となり、長期的な持続性を確保される恐れがあります。
• ユーザーデータの流出：侵害されたステーションから、支払い情報や車両テレメトリデータが漏洩する可能性があります。

推奨対策

CISAは関係者に以下の対策を推奨しています：

1. 即時のパッチ適用：ファームウェアの修正パッチについてベンダーの更新情報を監視し、優先的に適用する。
2. OTネットワークの分離：EV充電インフラを企業のITネットワークから分離し、横方向の攻撃拡大を制限する。
3. 異常の監視：不正な設定変更などの異常な活動を検知するために、侵入検知システム（IDS）を導入する。
4. CSAFドキュメントの確認：脆弱性固有の緩和策については、CSAFファイルを参照する。

注意：CISAは、ベンダーがパッチを開発する間、悪用を防ぐために技術的な詳細を公開していません。組織はこのアドバイザリを高重大度の警告として扱い、適切な対応を行う必要があります。

最新情報については、CISAのICSアドバイザリをフォローしてください。