## Xiongmai IPカメラを危険にさらす認証バイパス セキュリティ研究者により、Hangzhou Xiongmai Technology Co., Ltd製XM530 IPカメラに影響を与える重大な脆弱性が発見されました。CVE-2025-65856として指定されたこの脆弱性は、攻撃者が認証をバイパスし、影響を受けるデバイスから機密情報やライブビデオフィードへのリモートアクセスを取得することを可能にする可能性があります。 ### 脆弱性の詳細 この脆弱性は、カメラのファームウェア（V5.00.R02.000807D8.10010.346624.S.ONVIF_21.06）のONVIF実装に存在します。31個の重要なエンドポイントに対する認証の強制に失敗しているため、ビデオストリームへの直接的かつ不正なアクセスが可能になります。これは、攻撃者が認証なしでライブビデオを視聴できる可能性があることを意味します。 この脆弱性に関連するCommon Weakness Enumeration（CWE）はCWE-306であり、「重要な機能に対する認証の欠如」を意味します。 ### 影響を受ける製品 * **ベンダー:** Hangzhou Xiongmai Technology Co., Ltd * **製品:** Hangzhou Xiongmai Technology Co., Ltd IP Camera XM530V200_X6-WEQ_8M * **ファームウェアバージョン:** V5.00.R02.000807D8.10010.346624.S.ONVIF_21.06 * **ステータス:** 影響を受けることが確認済み ### 影響 この脆弱性が悪用された場合、攻撃者はデバイスへの完全なリモートアクセス権を取得し、以下のことが可能になります。 * ライブビデオストリームの視聴。 * 機密性の高いデバイス情報へのアクセス。 * （公開されたエンドポイントの範囲に応じて）デバイス設定の操作。 ### 緩和策 CISA（Cybersecurity and Infrastructure Security Agency）は、悪用のリスクを軽減するために以下の対策を推奨しています。 * すべての制御システムデバイスおよびシステムのネットワーク公開を最小限に抑え、インターネットからアクセスできないようにする。 * 制御システムネットワークとリモートデバイスをファイアウォールで保護し、ビジネスネットワークから分離する。 * リモートアクセスが必要な場合は、Virtual Private Networks（VPN）などのより安全な方法を使用する。VPNには脆弱性が存在する可能性があることを認識し、利用可能な最新バージョンに更新する必要がある。また、VPNは接続されたデバイスと同じくらい安全であることを認識する。 * ICS資産のプロアクティブな防御のための推奨されるサイバーセキュリティ戦略を実装する。 * 要求されていない電子メールメッセージ内のウェブリンクをクリックしたり、添付ファイルを開いたりしない。 ### 謝辞 CISAは、MITREに報告された公開Proof of Concept（PoC）がLuis Miranda Acebedoによって発見され、作成されたことを認めました。 ### 参考文献 * [CISA Advisory](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-113-05.json) * [CVE-2025-65856](https://www.cve.org/CVERecord?id=CVE-2025-65856)