Johnson Controls PowerG、IQPanel、IQHubの脆弱性が暗号化トラフィックリスクを露呈

Johnson Controls PowerG、IQPanel、IQHubの脆弱性が公開

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Johnson ControlsのPowerG、IQPanel、およびIQHub製品ラインに存在する重大な脆弱性に関するアドバイザリを公開しました。これらの脆弱性を悪用することで、攻撃者は暗号化されたトラフィックの読み取りや書き込み、さらには影響を受けるシステムに対するリプレイ攻撃を実行できる可能性があります。

技術的詳細

以下のJohnson Controls製品が影響を受けます：

• PowerG無線通信デバイス
• IQPanelセキュリティ制御パネル
• IQHubスマートホームコントローラー

CISAのアドバイザリICSA-25-350-02によると、これらの脆弱性は、影響を受けるデバイスにおける暗号化プロトコルの不適切な実装に起因しています。初期のアドバイザリでは具体的なCVE識別子は公開されていませんが、脆弱性により以下のリスクが生じます：

• 暗号化通信の不正な復号
• 暗号化チャネルを介したトラフィックの操作
• キャプチャされた暗号化パケットを使用したリプレイ攻撃

また、アドバイザリでは、自動処理用の機械可読な脆弱性詳細を含むCSAFドキュメントが参照されています。

影響分析

これらの脆弱性は、影響を受けるJohnson Controls製品を使用している組織に重大なリスクをもたらします。特に以下の環境で深刻な影響が懸念されます：

• PowerGデバイスが物理セキュリティを監視する重要インフラ施設
• IQPanelを利用したアクセス制御や環境システムを備える商業ビル
• IQHubコントローラーがIoTエコシステムを管理するスマートホーム環境

脆弱性の悪用に成功した場合、以下のような影響が生じる可能性があります：

• セキュリティシステムの操作による不正な物理アクセス
• ビルオートメーションや環境制御の混乱
• リプレイ攻撃による統合IoTデバイスの侵害
• OTネットワーク内でのラテラルムーブメントの可能性

推奨対策

CISAは組織に対して以下の対策を強く推奨しています：

1. アドバイザリの確認：ICSA-25-350-02を直ちに確認する
2. CSAFドキュメントの参照：技術的な脆弱性詳細を確認する
3. 利用可能なパッチの適用：Johnson Controlsから提供されるパッチを速やかに適用する
4. 暗号化トラフィックの監視：異常なパターンやリプレイ攻撃の試みを監視する
5. ネットワークのセグメンテーション：影響を受けるデバイスを含むネットワークを分離し、ラテラルムーブメントのリスクを制限する
6. 代替管理策の実施：パッチがすぐに適用できない場合は、代替の管理策を講じる

セキュリティチームは、物理セキュリティシステムやビルオートメーションインフラへの潜在的な影響を考慮し、これらの脆弱性に優先的に対処する必要があります。アドバイザリでは、運用技術（OT）環境における安全な暗号化実装の重要性が強調されています。

最新情報については、セキュリティ専門家はCISAのICSアドバイザリページおよびJohnson Controlsのセキュリティブリテンを監視することが推奨されます。