CTEK Chargeportalに複数の脆弱性、充電インフラが攻撃にさらされる

CTEK Chargeportalに複数の脆弱性が特定され、攻撃者が不正な制御を獲得したり、充電サービスを妨害したりする可能性があります。これらの問題は、認証の欠如からセッション期限切れの不備まで多岐にわたり、世界中のエネルギーおよび輸送セクターに影響を与えています。

2026-03-29T19:46:49

# CTEK Chargeportalに複数の脆弱性、充電インフラが攻撃にさらされる充電ソリューションを専門とするスウェーデンの企業である**CTEK**は、Chargeportalソフトウェアに複数の脆弱性が発見されたことで、精査に直面しています。これらの欠陥により、悪意のある攻撃者は充電ステーションに対する不正な管理制御を獲得したり、サービス妨害（DoS）攻撃を通じてサービスを妨害したりする可能性があります。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-078-06.json) ## 影響の概要これらの脆弱性が悪用された場合、以下のような結果につながる可能性があります。 * 脆弱な充電ステーションに対する不正な管理制御。 * サービス妨害（DoS）攻撃による充電サービスの妨害。影響を受ける製品は以下の通りです。 * Chargeportal vers:all/* ## 脆弱性の詳細 Khaled Sarieddine氏とMohammad Ali Sayed氏によって**CISA**に報告された脆弱性の詳細は以下の通りです。 ### CVE-2026-25192: 重要機能に対する認証の欠如 WebSocketエンドポイントには適切な認証が欠如しており、攻撃者が充電ステーションになりすまし、データを操作することを可能にします。認証されていない攻撃者は、既知または発見された充電ステーション識別子を使用してOCPP WebSocketエンドポイントに接続し、正規の充電器としてOCPPコマンドを発行または受信できます。これにより、権限昇格、不正な制御、およびデータ破損につながる可能性があります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-25192) **影響を受ける製品:** * **ベンダー:** CTEK * **製品:** CTEK Chargeportal: vers:all/* * **ステータス:** 既知の影響あり **関連CWE:** [CWE-306 重要機能に対する認証の欠如](https://cwe.mitre.org/data/definitions/306.html) ### CVE-2026-31904: 過剰な認証試行に対する制限の不備 WebSocket APIには、認証要求に対するレート制限が欠如しています。この欠如により、攻撃者は正規の充電器テレメトリを抑制または誤ルーティングすることによるサービス妨害（DoS）攻撃を実行したり、不正なアクセスを獲得するためのブルートフォース攻撃を実行したりする可能性があります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-31904) **影響を受ける製品:** * **ベンダー:** CTEK * **製品:** CTEK Chargeportal: vers:all/* * **ステータス:** 既知の影響あり **関連CWE:** [CWE-307 過剰な認証試行に対する制限の不備](https://cwe.mitre.org/data/definitions/307.html) ### CVE-2026-27649: セッション期限切れの不備 WebSocketバックエンドは、充電ステーション識別子を使用してセッションを一意に関連付けますが、同じセッション識別子を使用して複数のエンドポイントが接続することを許可します。この実装により、セッション識別子が予測可能になり、セッションハイジャックまたはシャドウイングが可能になります。これにより、不正なユーザーが他のユーザーとして認証したり、悪意のある攻撃者が有効なセッション要求でバックエンドを圧倒することによってサービス妨害状態を引き起こしたりする可能性があります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-27649) **影響を受ける製品:** * **ベンダー:** CTEK * **製品:** CTEK Chargeportal: vers:all/* * **ステータス:** 既知の影響あり **関連CWE:** [CWE-613 セッション期限切れの不備](https://cwe.mitre.org/data/definitions/613.html) ## 推奨される緩和策 **CISA**は以下の防御策を推奨しています。 * すべての制御システムデバイスおよびシステムのネットワーク露出を最小限に抑える。 * 制御システムネットワークをファイアウォールで保護し、ビジネスネットワークから分離する。 * VPNなどの安全なリモートアクセス方法を使用し、最新バージョンに更新されていることを確認する。 * 防御策を展開する前に、適切な影響分析とリスク評価を実施する。 **CISA**は、cisa.gov/icsのICSウェブページで制御システムセキュリティの推奨プラクティスも提供しています。疑わしい悪意のあるアクティビティを観察している組織は、確立された内部手順に従い、発見事項を**CISA**に報告する必要があります。 ## 改訂履歴 * **初回リリース日:** 2026-03-19

📡 Intelligence Feed

CTEK Chargeportalに複数の脆弱性、充電インフラが攻撃にさらされる

✏️ Edit Article