SWITCH EVのswtchenergyプラットフォームで重大な脆弱性を発見 – EV充電インフラにリスク

SWITCH EVのswtchenergyプラットフォームで重大な脆弱性を確認

スペイン・マドリード – 2026年2月27日 – スペインの国家サイバーセキュリティ監視機関であるINCIBE-CERTは、SWITCH EVが開発した電気自動車（EV）充電インフラ管理プラットフォームswtchenergyに複数の脆弱性が存在するとして警告を発表しました。これらの脆弱性が悪用されると、EV充電ネットワークのセキュリティと運用の完全性に重大なリスクをもたらす可能性があります。

技術的詳細

INCIBE-CERTは、脆弱性の詳細な技術仕様をまだ公開していませんが、アドバイザリによると、これらの欠陥はSWITCH EVのエコシステムにおける重要なコンポーネントであるswtchenergyに影響を及ぼします。セキュリティ専門家は以下の点に注意する必要があります。

• これらの脆弱性は、複数のCVE（Common Vulnerabilities and Exposures）として分類されていますが、現時点では具体的なIDは公開されていません。
• 攻撃ベクトルとしては、リモートコード実行（RCE）、特権昇格、または充電インフラの機密データへの不正アクセスが含まれる可能性があります。
• このソフトウェアは、商業用および公共のEV充電ステーションで広く使用されており、脆弱性の潜在的な影響が拡大しています。

INCIBE-CERTのアドバイザリは、EVインフラの普及が進み、スマートグリッドシステムとの統合が進んでいる現状を踏まえ、これらの欠陥への対応を急ぐよう強調しています。

影響分析

これらの脆弱性の発見は、EV充電エコシステムのステークホルダーにとって重大なリスクを浮き彫りにしています。

• 運用の混乱：悪用されると、サービス拒否（DoS）攻撃を引き起こし、消費者やフリートオペレーター向けの充電サービスが中断される可能性があります。
• データ漏洩：swtchenergyへの不正アクセスにより、ユーザー認証情報、決済情報、充電パターンが流出し、プライバシーや金融セキュリティが損なわれる恐れがあります。
• グリッドの脆弱性：EV充電インフラがエネルギーグリッドとより密接に連携するようになる中、これらの欠陥は重要インフラへの大規模なサイバー攻撃の足がかりとなる可能性があります。
• コンプライアンスリスク：影響を受けるバージョンのswtchenergyを使用している組織は、GDPRやNIS2指令などの規制フレームワークに基づく罰則に直面する可能性があります。

セキュリティチーム向けの推奨事項

INCIBE-CERTは、swtchenergyを使用している組織に対し、以下の即時対応を呼びかけています。

1. パッチの適用：SWITCH EVの公式チャネルを監視し、セキュリティアップデートが公開され次第、速やかに適用してください。
2. ネットワークのセグメンテーション：EV充電インフラを企業ネットワークや重要な運用システムから分離し、侵害時の横方向の移動を制限します。
3. アクセス制御：**多要素認証（MFA）とロールベースアクセス制御（RBAC）**を導入し、プラットフォームへの不正アクセスを最小限に抑えます。
4. 監視とログ記録：リアルタイム監視と異常検知を実装し、不審なログイン試行や設定変更などの異常な活動を特定します。
5. インシデント対応計画：EV充電インフラを重要な資産として含めるよう、インシデント対応プロトコルを確認・更新してください。

これらの脆弱性が標的型攻撃で悪用される可能性を考慮し、セキュリティチームは警戒を怠らず、迅速な対応を優先することが求められます。CVE IDや緩和策の詳細については、INCIBE-CERTおよびSWITCH EVから今後数日のうちに発表される予定です。

詳細については、INCIBE-CERTのオリジナルアドバイザリを参照してください。