セキュリティ

SECURITY

公開：2024-12-05

【CVE-2024-7391】ChargePoint Home Flexに認証情報漏洩の脆弱性、Wi-Fi設定時のBLE通信がセキュリティリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ChargePoint Home FlexにBluetooth経由で情報漏洩の脆弱性
• Wi-Fi設定時にBLE経由で認証情報が取得可能
• CVE-2024-7391として識別された脆弱性

ChargePoint Home Flex充電デバイスのBluetooth Low Energy脆弱性

ChargePointは同社のHome Flex充電デバイスにおいて、Bluetooth Low Energy経由で情報漏洩が可能となる脆弱性が発見されたことを2024年11月22日に公開した。この脆弱性はCVE-2024-7391として識別され、Wi-Fi設定プロセス中にBluetooth Low Energy経由で認証情報が取得可能となる問題が指摘されている。^[1]

Zero Day Initiativeによって報告されたこの脆弱性は、ネットワーク隣接した攻撃者がユーザーの操作を必要とする条件下で機密情報を取得できる可能性がある。この問題はWi-Fi設定ロジックに存在しており、セットアップ中にBluetooth Low Energy経由で接続することでWi-Fi認証情報を取得することが可能だ。

CVSSスコアは2.6（低）と評価されており、攻撃元区分は隣接ネットワークからのアクセス、攻撃条件の複雑さは高いとされている。また利用者の関与が必要であり、影響範囲は限定的であるものの、所有者のWi-Fiネットワークへのアクセス権を取得される可能性があるとされた。

ChargePoint Home Flex脆弱性の詳細

Bluetooth Low Energyについて

Bluetooth Low Energy（BLE）とは、低消費電力での通信を実現するために設計された無線通信技術であり、主な特徴として以下のような点が挙げられる。

• 従来のBluetoothと比較して大幅な省電力化を実現
• IoTデバイスやウェアラブル機器での利用に最適
• 短距離での高速データ転送が可能

ChargePoint Home Flexの脆弱性では、BLEを介して設定プロセス中にWi-Fi認証情報が露出する問題が指摘されている。BLEの特性上、通信範囲は限定的であるものの、近接した攻撃者によって認証情報が取得される可能性があるため、適切なセキュリティ対策が必要となる。

ChargePoint Home Flex脆弱性に関する考察

Wi-Fi設定プロセスにおけるBLE経由での認証情報の露出は、HomeFlexデバイスのセキュリティアーキテクチャに重要な課題を提起している。CVSSスコアは低く評価されているものの、Wi-Fiネットワークへの不正アクセスのリスクを考慮すると、ユーザーの個人情報やプライバシーの保護という観点から早急な対応が望まれるだろう。

今後は設定プロセス全体のセキュリティ強化が必要不可欠となり、特にBLE通信における暗号化やアクセス制御の見直しが重要となるだろう。ChargePointには、電気自動車の充電インフラという重要な役割を担う企業として、より堅牢なセキュリティ対策の実装が期待される。

電気自動車の普及に伴い、充電設備のセキュリティはますます重要性を増すことが予想される。HomeFlexのようなホーム充電器においても、IoTデバイスとしての特性を考慮した包括的なセキュリティ設計が必要となるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-7391 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-7391, (参照 24-12-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧