CERT勧告低
Mobility46 EV充電器の重大な脆弱性が管理者権限のリスクを露呈
1分で読めますソース: CISA Cybersecurity Advisories
CISAが公開したMobility46 EV充電器の重大な脆弱性(CVE-2026-23987、CVE-2026-23988)により、不正な管理者アクセスやDoS攻撃のリスクが高まっています。対策と影響を解説。
Mobility46 EV充電器の重大な脆弱性が不正な管理者アクセスを可能に
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Mobility46の電気自動車(EV)充電ステーションに存在する複数の重大な脆弱性を公表しました。これらの脆弱性により、攻撃者が不正な管理者権限の取得やサービス妨害(DoS)攻撃を実行し、運用技術(OT)環境にリスクをもたらす可能性があります。このアドバイザリは、**ICSA-26-057-08**として公開されています。
技術的詳細
これらの脆弱性は、Mobility46充電ステーションのファームウェアに影響を及ぼし、以下の問題が含まれます:
- CVE-2026-23987:認証バイパスの脆弱性により、資格情報なしで管理者アクセスが可能(CVSS:9.8、Critical)。
- CVE-2026-23988:不適切な入力検証によりDoS状態を引き起こす(CVSS:7.5、High)。
攻撃者が充電ステーションの管理インターフェースにネットワークアクセスすることで、設定の改ざん、データの持ち出し、またはデバイスの機能停止が可能となります。
影響分析
- 不正な制御:脅威アクターが充電パラメータを変更したり、安全プロトコルを無効化したり、ランサムウェアを展開する可能性があります。
- サービス妨害:DoS攻撃により充電サービスが停止し、重要インフラ(例:車両基地、公共充電ネットワーク)に影響を及ぼす恐れがあります。
- サプライチェーンリスク:侵害された充電ステーションがOTネットワーク内での横展開の足がかりとなる可能性があります。
推奨対策
CISAは関係者に以下の対策を推奨しています:
- パッチの適用:最新のファームウェアバージョンに更新(詳細はMobility46のアドバイザリを参照)。
- ネットワークの分離:充電ステーションを企業ITやOTシステムから分離。
- トラフィックの監視:不審な活動を検出するために侵入検知システム(IDS)を導入。
- CSAFの確認:緩和策の詳細については、CSAFドキュメントを参照。
注意:現在のところ、これらの脆弱性が悪用された報告はありませんが、未修正のシステムは高リスクの標的となります。
最新情報はCISAのICSアドバイザリをご確認ください。