セキュリティ

SECURITY

公開：2024-12-05

【CVE-2024-7392】ChargePoint Home FlexにBluetooth LE脆弱性、DoS攻撃のリスクが判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ChargePoint Home Flexに深刻なDoS脆弱性が発見
• BluetoothのLEインターフェースで接続数制限による問題
• 認証不要で攻撃可能なセキュリティリスク

ChargePoint Home FlexのBluetooth LE脆弱性

Zero Day Initiativeは2024年11月22日、ChargePoint Home Flexの充電デバイスにおいて深刻なBluetooth Low Energy脆弱性を発見したと発表した。この脆弱性はCVE-2024-7392として識別され、攻撃者が認証なしでデバイスに対してDoS攻撃を実行できる可能性があることが明らかになっている。^[1]

この脆弱性は、Bluetooth LEインターフェースの接続処理における実装の不備に起因しており、デバイスへのアクティブな接続数に制限があることが原因となっている。攻撃者はこの制限を悪用することで、正規ユーザーのデバイスへのアクセスを妨害し、システム全体にDoS状態を引き起こすことが可能となっている。

CISAによる評価では、この脆弱性の深刻度はCVSS v3.0で4.3（MEDIUM）とされており、攻撃元区分はネットワーク隣接、攻撃条件の複雑さは低いとされている。特権レベルや利用者の関与は不要であり、機密性や整合性への影響はないものの、可用性への影響が確認されている。

ChargePoint Home Flex脆弱性の詳細

サービスサイドリクエストフォージェリについて

DoS攻撃とは、Denial of Serviceの略称で、システムやサービスの正常な利用を妨害する攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• システムやネットワークリソースを枯渇させる手法
• 正規ユーザーのサービス利用を妨害する攻撃
• システムの可用性に直接的な影響を与える脅威

ChargePoint Home Flexで発見された脆弱性は、Bluetooth LEインターフェースの接続数制限を悪用したDoS攻撃の一種となっている。この種の攻撃は、システムの設計上の制限を利用して正規ユーザーのアクセスを妨害する手法であり、IoTデバイスのセキュリティ設計において重要な考慮点となっている。

ChargePoint Home Flexの脆弱性に関する考察

Bluetooth LEインターフェースの実装における接続数制限は、リソース管理の観点から必要な機能であるが、適切な保護機能が実装されていない場合、深刻なセキュリティリスクとなることが今回の事例で明確になった。IoTデバイスのセキュリティ設計においては、リソース制限の実装と同時に、悪用を防ぐための認証機能や接続制御の実装が不可欠である。

今後は同様の脆弱性を防ぐため、Bluetooth LEインターフェースの実装ガイドラインの整備や、セキュリティテストの強化が求められる。特に接続制限を実装する際には、正規ユーザーの利用を妨げることなく、不正なアクセスを効果的にブロックする仕組みの検討が重要となるだろう。

また、IoTデバイスのセキュリティアップデートの配信体制も重要な課題となっている。ChargePoint社には、今回の脆弱性に対する迅速なパッチの提供と、将来的なセキュリティ強化のためのアップデート体制の整備が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-7392 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-7392, (参照 24-12-05).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧