# Fourth Frontierデバイスにおける患者データを危険にさらす重大な脆弱性 **CISA**は、**Fourth Frontier**社のFrontier XモバイルアプリケーションおよびFrontier X2ウェアラブルデバイスに影響を与える重大な脆弱性に関する勧告を発行しました。この脆弱性が悪用されると、攻撃者は任意のハンドル値を読み書きし、臨床測定値を変更し、最終的にはデバイスを制御できるようになり、患者に危害を加える可能性があります。 [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsma-26-148-01.json) ## 対象製品 以下のバージョンが影響を受けます： * Frontier X Android アプリケーション バージョン v15.0.0 より前のバージョン * Frontier X iOS アプリケーション バージョン v25.0.0 より前のバージョン * Frontier X2：全バージョン | CVSS | ベンダー | 機器 | 脆弱性 | | :----- | :-------------- | :-------------------------------------------------------------------------------------------------------- | :---------------------------------------- | | v3 8.8 | Fourth Frontier | Fourth Frontier Frontier X モバイルアプリケーション、Frontier X2 | 重要な機能に対する認証の欠如 | ### 背景 * **重要インフラストラクチャセクター**：ヘルスケアおよび公衆衛生 * **展開国/地域**：全世界 * **企業本社所在地**：米国 --- ## 脆弱性の詳細：CVE-2026-5768 Frontier X2デバイスは、ペアリング認証や承認を強制することなく、重要なGATT特性への認証されていないBluetooth Low Energy（BLE）の読み取り/書き込みアクセスを許可します。これにより、BLE範囲内の攻撃者は、アクティビティの開始/停止、振動のトリガー、サービス拒否状態の引き起こし、および特性値の操作による予期しない動作の誘発など、デバイス機能の不正な制御を実行できます。 さらに、Frontier Xモバイルアプリケーションは適切なBLEデバイス認証を欠いており、攻撃者が正規のFrontier X2デバイスになりすましてアプリケーションに接続することを可能にします。BLE広告をクローンし、期待されるGATT特性を公開することで、攻撃者はアクティビティ状態を操作し、呼吸数、心拍数、ストレス、その他の健康関連データなどの偽の健康テレメトリをモバイルアプリケーションに注入できます。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2026-5768) --- ### 対象製品 **ベンダー**：Fourth Frontier **製品バージョン**：Frontier X Android アプリケーション：<v15.0.0、Frontier X IOS アプリケーション：<v25.0.0、Frontier X2：vers:all/* **製品ステータス**：known_affected **関連CWE**：[CWE-306 重要な機能に対する認証の欠如](https://cwe.mitre.org/data/definitions/306.html) --- ## 緩和策 **CISA**は、悪用のリスクを最小限に抑えるために、以下の防御策を推奨しています： * すべての制御システムデバイスおよびシステムについて、ネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにします。 * 制御システムネットワークおよびリモートデバイスをファイアウォールの背後に配置し、ビジネスネットワークから分離します。 * リモートアクセスが必要な場合は、Virtual Private Network（VPN）などのより安全な方法を使用します。ただし、VPNにも脆弱性が存在する可能性があることを認識し、利用可能な最新バージョンに更新する必要があります。また、VPNは接続されているデバイスと同じくらい安全であることを認識してください。 * 防御策を展開する前に、適切な影響分析とリスク評価を実行します。 **CISA**は、組織に対し、ICS資産のプロアクティブな防御のために推奨されるサイバーセキュリティ戦略を実装することを奨励しています。 疑わしい悪意のあるアクティビティを観察している組織は、確立された内部手順に従い、他のインシデントとの相関関係のために**CISA**に調査結果を報告する必要があります。 現在、この脆弱性を特に標的とした公開された悪用報告は知られていません。この脆弱性はリモートからは悪用できません。 --- ## 謝辞 Shakir ZariとJerin Sunnyがこの脆弱性を**CISA**に報告しました。 --- ## 改訂履歴 * **初回公開日**：2026-05-28 | 日付 | 改訂 | 要約 | | :--------- | :--- | :-------------- | | 2026-05-28 | 1 | 初版公開 | --- ## 法的通知および利用規約 この製品は、この通知（https://www.cisa.gov/notification）およびこのプライバシー＆利用ポリシー（https://www.cisa.gov/privacy-policy）に従って提供されます。