セキュリティ

SECURITY

公開：2025-04-18

【CVE-2025-2567】Lantronix Xport 6.5.0.7-7.0.0.3に認証機能欠落の脆弱性、燃料監視システムに重大な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Lantronix Xportに認証機能の欠落による脆弱性
• 重要設定の変更や監視機能の無効化が可能に
• 燃料監視と供給チェーン運用に深刻な影響

Lantronix Xport 6.5.0.7-7.0.0.3の認証機能欠落の脆弱性

ICS-CERTは2025年4月15日、Lantronix社のXportに重大な脆弱性【CVE-2025-2567】を発見したことを公開した。この脆弱性は認証機能の欠落によるもので、攻撃者が重要な設定を変更または無効化できる状態であることが判明している。^[1]

脆弱性の深刻度はCVSS v3.1で9.8、CVSS v4.0で9.3と評価されており、いずれも最も深刻なCRITICALレベルに分類されている。影響を受けるバージョンはXport 6.5.0.7から7.0.0.3までのすべてのバージョンで、燃料監視システムや供給チェーンの運用に重大な支障をきたす可能性が高いことが確認された。

この脆弱性はMicrosec社のSouvik Kandar氏によってCISAに報告され、現在詳細な調査が進められている。燃料の貯蔵や輸送における安全性に関わる重要な問題であり、早急な対策が必要とされている。

Lantronix Xportの脆弱性詳細

認証機能の欠落について

認証機能の欠落とは、システムやアプリケーションにおいて、重要な機能やデータにアクセスする際に必要な認証プロセスが適切に実装されていない状態を指す。主な特徴として、以下のような点が挙げられる。

• ユーザー認証なしで重要な設定変更が可能
• システムの重要機能への不正アクセスが容易
• セキュリティ上の深刻なリスクを引き起こす

Lantronix Xportの事例では、この認証機能の欠落により、攻撃者が燃料監視システムの設定を無断で変更できる状態となっている。このような状況は燃料の貯蔵や輸送における安全管理に重大な影響を及ぼす可能性があり、早急な対策が必要とされている。

Lantronix Xportの脆弱性に関する考察

Lantronix Xportの認証機能欠落は、産業用制御システムのセキュリティにおける根本的な課題を浮き彫りにしている。特に燃料監視システムのような重要インフラに関わるコンポーネントでこのような脆弱性が発見されたことは、物理的な安全性にも直結する深刻な問題として捉える必要があるだろう。

今後は同様の脆弱性を防ぐため、開発段階からのセキュリティ設計の見直しが不可欠となる。特に認証機能については、多要素認証の導入や定期的なセキュリティ監査の実施など、より強固な対策が求められている。

また、この問題は単なる技術的な脆弱性にとどまらず、サプライチェーン全体のセキュリティ管理の重要性を示している。今後は製品の開発・導入・運用の各段階において、より包括的なセキュリティ対策の実装が期待される。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-2567」. https://www.cve.org/CVERecord?id=CVE-2025-2567, (参照 25-04-18).
1281

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧