EV2GO充電ステーションの重大な脆弱性がEVインフラをサイバー攻撃のリスクに晒す
CISAが公表したEV2GO充電ステーションの複数の重大な脆弱性により、攻撃者がインフラ偽装やセッション乗っ取り、サービス妨害などが可能に。EVネットワークの安全性確保が急務。
EV2GO充電ステーションの重大な脆弱性がEVインフラをサイバー攻撃のリスクに晒す
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、EV2GOの電気自動車(EV)充電ステーションに存在する複数の重大な脆弱性を公表しました。これらの脆弱性により、攻撃者は充電インフラの偽装、セッションの乗っ取り、サービスの妨害、バックエンドデータの改ざんが可能となります。このアドバイザリは、ICSA-26-057-04として公開され、EV充電ネットワークおよびバックエンドシステムへのリスクを強調しています。
脆弱性の技術的詳細
CISAは現在、完全な技術的詳細やCVE識別子を割り当てていませんが、アドバイザリでは以下の潜在的な攻撃ベクトルが示されています。
- 充電ステーションの偽装:攻撃者は正規の充電ステーションを偽装し、ユーザーやバックエンドシステムを悪意のあるインフラに接続させることが可能。
- セッションの乗っ取り:脆弱性の悪用により、攻撃者はアクティブな充電セッションを制御し、運用を妨害したり、機密データを窃取する恐れがある。
- サービス拒否(DoS)攻撃:脆弱性を悪用することで、攻撃者は正規のトラフィックを抑制または誤転送し、EV充電ネットワーク全体に大規模なサービス妨害を引き起こす可能性がある。
- データ改ざん:攻撃者はバックエンドシステムに送信されるデータを改ざんし、課金精度、ユーザー認証、または運用の完全性を損なう恐れがある。
CSAF(Common Security Advisory Framework)ドキュメントには、セキュリティチームがリスクを評価し、対策を講じるための構造化された脆弱性情報が提供されています。
影響分析
これらの脆弱性が悪用されると、EVインフラには以下のような重大なリスクが生じます。
- 運用の妨害:大規模なDoS攻撃により、充電ステーションが機能しなくなり、フリート、公共充電ネットワーク、重要な交通サービスに影響を及ぼす可能性がある。
- 金融詐欺:データ改ざんにより、不正な課金、不正取引、または決済情報の窃盗が発生する恐れがある。
- 安全性のリスク:セッションの乗っ取りや偽装攻撃により、攻撃者が車両の充電プロセスに干渉し、物理的な危害や機器の損傷を引き起こす可能性がある。
- サプライチェーンの侵害:バックエンドシステムの侵害により、機密運用データ、ユーザー認証情報、または独自情報が流出する恐れがある。
EV充電インフラは、スマートグリッドやIoTエコシステムとますます統合されており、これらの脆弱性の影響範囲が拡大する可能性があります。重要インフラを管理するセキュリティチーム、フリート事業者、EVサービスプロバイダーは、早急な対策を講じる必要があります。
セキュリティチームへの推奨事項
CISAは、EV2GO充電ステーションを使用している組織に対し、以下の対策を講じるよう呼びかけています。
- パッチの即時適用:EV2GOの公式チャネルを監視し、ファームウェアアップデートが公開され次第、速やかに適用する。CISAは、パッチの詳細が公開され次第、アドバイザリを更新する予定。
- ネットワークの分離:EV充電インフラを企業ネットワークや重要な運用技術(OT)システムから分離し、横方向の移動を制限する。
- 異常の監視:侵入検知/防止システム(IDS/IPS)を導入し、不審なトラフィックパターン、不正なセッション試行、またはデータ改ざんを検出する。
- 強固な認証の実施:バックエンドシステムおよび充電ステーションの管理アクセスには、多要素認証(MFA)を必須とする。
- CSAFドキュメントの確認:セキュリティチームは、CSAFアドバイザリを分析し、自組織の環境に適した技術的指標や緩和策を確認する。
- インシデント対応計画の策定:EV充電インフラが侵害された場合に備え、インシデント対応プレイブックを更新する。
CISAは、新たな情報が公開され次第、随時更新を行う予定です。組織は、CISAのICSアドバイザリを購読し、運用技術および重要インフラに対する新たな脅威に関するリアルタイムのアラートを受け取ることを推奨します。
詳細については、CISAのオリジナルアドバイザリ(ICSA-26-057-04)を参照してください。