セキュリティ

SECURITY

公開：2025-04-30

【CVE-2025-3606】Vestel AC Charger 3.75.0に認証情報漏洩の脆弱性、デバイスの不正アクセスのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Vestel AC Charger 3.75.0で認証情報漏洩の脆弱性を確認
• デバイスの不正アクセスにつながる重大な脆弱性
• CVSSスコア7.5のHigh評価で早急な対応が必要

Vestel AC Charger 3.75.0の認証情報漏洩の脆弱性

ICS-CERTは2025年4月24日、Vestel AC Charger version 3.75.0において重大な脆弱性【CVE-2025-3606】を公開した。この脆弱性により攻撃者は認証情報などの機密情報を含むファイルにアクセスすることが可能となり、さらなるデバイスの侵害につながる可能性がある。^[1]

CVSS（Common Vulnerability Scoring System）3.1では基本スコア7.5のHigh評価とされており、攻撃者は特別な権限や利用者の操作を必要とせずにネットワーク経由で攻撃を実行することが可能となっている。CVSSベクトルの解析からも、この脆弱性の深刻度が高いことが示されているのだ。

この脆弱性はCumhur Kizilariによって発見されCISAに報告された。影響を受けるのはVestel AC Charger EVC04のバージョン3.75.0であり、他のバージョンは影響を受けないことが確認されている。CISAはこの脆弱性に関する詳細な情報をICS-ADVISORYとして公開している。

Vestel AC Charger脆弱性の詳細

認証情報の漏洩について

認証情報の漏洩とは、パスワードやアクセストークンなどのシステムやサービスへのアクセス権を持つ情報が第三者に流出することを指す。主な特徴として、以下のような点が挙げられる。

• 正規ユーザーになりすましたシステムアクセスが可能になる
• 二次攻撃の足がかりとして悪用される危険性がある
• 情報流出後の被害拡大を防ぐため、速やかな認証情報の無効化が必要

今回のVestel AC Chargerの脆弱性では、デバイスの認証情報を含むファイルへの不正アクセスが可能となっており、攻撃者はこの情報を使用してデバイスを完全に制御下に置く可能性がある。この種の脆弱性は電気自動車充電システムのセキュリティにおいて特に重要であり、利用者のプライバシーや安全性に直接影響を及ぼす可能性があるため、早急な対策が必要とされている。

Vestel AC Chargerの脆弱性に関する考察

電気自動車の普及に伴い充電インフラのセキュリティ確保は極めて重要な課題となっているが、今回の脆弱性はその重要性を改めて浮き彫りにした。特に認証情報の漏洩は、単にデバイスへの不正アクセスだけでなく、充電ネットワーク全体のセキュリティを脅かす可能性があり、充電インフラの信頼性に大きな影響を与える可能性がある。

今後は充電設備のファームウェアアップデートの自動化や、定期的なセキュリティ監査の実施が重要となってくるだろう。特にIoTデバイスのセキュリティ管理では、脆弱性の早期発見と迅速な対応が求められており、製造業者には継続的なセキュリティ対策の強化が期待される。

また、充電インフラのセキュリティ標準化も重要な課題となっている。業界全体でセキュリティガイドラインを策定し、製品開発段階からセキュリティを考慮したアプローチを取ることで、より安全な充電インフラの構築が可能となるだろう。今後はセキュリティ認証制度の整備なども進められることが期待される。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-3606」. https://www.cve.org/CVERecord?id=CVE-2025-3606, (参照 25-04-30).
1426

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧