EnOcean EdgeのSmartServer IoTに重大な脆弱性 - 産業システムが攻撃リスクに晒される

マドリード（スペイン） - 2026年2月20日 - スペイン国家サイバーセキュリティ研究所（INCIBE）は、産業用IoT（IIoT）環境向けエッジサーバーとして広く導入されているEnOcean Edge Inc.のSmartServer IoTに複数の高リスク脆弱性が存在するとして、緊急注意喚起を発表しました。これらの脆弱性はCVE-2026-23456からCVE-2026-23460として追跡されており、攻撃者によるリモートコード実行、運用妨害、または重要インフラへの不正アクセスが可能となる恐れがあります。

技術的詳細

脆弱性の影響を受けるのはSmartServer IoT バージョン4.5.2より前で、以下の重大な問題が確認されています：

• CVE-2026-23456（CVSS 9.8）：Webインターフェースへの巧妙に細工されたHTTPリクエストによる認証なしリモートコード実行（RCE）。webserverコンポーネントのバッファオーバーフローを悪用し、システム全体の乗っ取りが可能。
• CVE-2026-23457（CVSS 8.6）：不正なMQTTパケットによるサービス拒否（DoS）。mqtt-brokerサービスをクラッシュさせ、IoTデバイス間の通信を妨害。
• CVE-2026-23458（CVSS 7.5）：REST APIにおける不適切な認証。攻撃者が認証を回避し、機密性の高いデバイス設定にアクセス可能。
• CVE-2026-23459（CVSS 7.2）：管理ダッシュボードにおける格納型クロスサイトスクリプティング（XSS）。悪意のあるペイロードによりセッションハイジャックが可能。
• CVE-2026-23460（CVSS 6.5）：ファームウェアにハードコードされた認証情報による情報漏洩。デフォルトの管理者パスワードが平文で露出。

これらの脆弱性は、INCIBE-CERTが定期的なセキュリティ評価中に発見し、EnOcean Edgeに報告されました。同社はSmartServer IoT v4.5.2でパッチを公開しています。

影響分析

SmartServer IoTは、スマートビルディング、産業オートメーション、エネルギー管理システムなどに広く導入されており、BACnet、Modbus、LonWorksプロトコルとの連携が一般的です。これらの脆弱性が悪用されると、以下のリスクが発生する可能性があります：

• 重要インフラ（例：HVAC、照明、アクセス制御システム）における運用妨害。
• 侵害されたIoTデバイスを経由した企業ネットワークへの横展開。
• 工業用テレメトリやユーザー認証情報のデータ流出。
• 接続されたシステムを操作することによる物理的安全リスク（例：火災警報やセキュリティカメラの無効化）。

INCIBEは、CVE-2026-23456およびCVE-2026-23457に対する概念実証（PoC）エクスプロイトがアンダーグラウンドフォーラムで既に出回っていると警告しており、早急なパッチ適用が求められています。

推奨対策

セキュリティチームおよび産業運用者は、以下の対策を実施することが推奨されます：

1. SmartServer IoT v4.5.2以降への即時アップグレード。EnOcean Edgeのサポートポータルから入手可能。
2. パッチ適用までSmartServer IoTデバイスを企業ネットワークから隔離。VLANやファイアウォールを活用。
3. 不審なMQTT/HTTPリクエストや不正なAPIアクセスをネットワークトラフィックで監視。
4. すべてのデフォルト認証情報をローテーションし、管理インターフェースに**多要素認証（MFA）**を導入。
5. BACnetやModbusプロトコルを使用するIoTデバイスを中心に、侵害の兆候がないか監査を実施。

詳細なガイダンスについては、**INCIBEのアドバイザリ（INCIBE-CERT-2026-0045）またはCISAのICSアラート（ICS-ALERT-2026-0220）**を参照してください。

---

本アドバイザリはINCIBEの協調的開示プロセスに基づいています。EnOcean Edgeは脆弱性を認め、修正に協力しました。