目次
記事の要約
- Vestel AC Charger EVC04 version 3.75.0に脆弱性
- 認証されていない制御領域への機密情報漏洩の可能性
- CVSS v3.1スコア7.5、CVSS v4.0スコア8.7と評価
Vestel AC Charger EVC04 version 3.75.0に機密情報漏洩の脆弱性
ICS-CERTはVestel AC Charger EVC04 version 3.75.0に、認証されていない制御領域への機密情報漏洩を許す脆弱性が存在することを2025年4月24日に発表した。この脆弱性により、攻撃者はデバイスをさらに侵害するために使用できる認証情報などの機密情報を含むファイルにアクセスする可能性がある。
この脆弱性は、CVSS v3.1スコア7.5(HIGH)およびCVSS v4.0スコア8.7(HIGH)と評価されており、ネットワーク経由で容易に悪用される可能性がある。影響を受けるのはVestel AC Charger EVC04のversion 3.75.0のみであり、他のバージョンは影響を受けないとされている。
脆弱性の発見者であるCumhur Kizilariは、この問題をCISAに報告しており、CISA-ADPがAuthorized Data Publishersとして情報を公開している。この脆弱性に関する詳細は、CISAのICS Advisory ICSA-25-114-03およびVestelのセキュリティアドバイザリVSA-1_R2で確認できる。
Vestel AC Charger EVC04 version 3.75.0の脆弱性詳細
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2025-3606 |
| 対象製品 | Vestel AC Charger EVC04 |
| 影響を受けるバージョン | 3.75.0 |
| 脆弱性の種類 | 機密情報漏洩 |
| CVSS v3.1スコア | 7.5 (HIGH) |
| CVSS v4.0スコア | 8.7 (HIGH) |
CWE-497について
CWE-497とは、機密性の高い情報を意図せず公開してしまう脆弱性の分類を指す。主な特徴は以下の通りだ。
- 不要な情報の公開
- エラーメッセージによる情報漏洩
- デフォルト設定の不備
CWE-497の対策としては、最小限の権限原則の適用や、エラーメッセージの詳細を制限することなどが挙げられる。これらの対策を実施することで、攻撃者による情報窃取のリスクを低減することが可能になるだろう。
Vestel AC Charger EVC04 version 3.75.0の脆弱性に関する考察
Vestel AC Charger EVC04 version 3.75.0における機密情報漏洩の脆弱性は、IoTデバイスのセキュリティにおける重要な課題を浮き彫りにしている。特に、充電器のような比較的身近なデバイスが攻撃の足掛かりとなり得ることは、ユーザーにとって大きな懸念事項となるだろう。
この問題に対しては、メーカーによる迅速なアップデート提供と、ユーザーによる適切なセキュリティ対策の実施が不可欠だ。また、今後は脆弱性発見者への報奨金制度の導入や、セキュリティ専門家との連携を強化することで、より早期に脆弱性を発見し、対応できる体制を構築することが望ましい。
さらに、IoTデバイスの普及に伴い、セキュリティ基準の策定や認証制度の導入も検討されるべきだろう。これにより、ユーザーは安心してデバイスを利用できるようになり、IoT社会の発展に貢献することが期待される。
参考サイト/関連サイト
- CVE.「CVE Record: CVE-2025-3606」.https://www.cve.org/CVERecord?id=CVE-2025-3606, (参照 2025-04-29).
