## MacGregor VDR G4eの脆弱性が重要インフラを危険にさらす 研究者らが、輸送部門で広く使用されている**MacGregor Voyage Data Recorder (VDR) G4e**に、複数の重大な脆弱性を発見しました。**CISA**の報告によると、これらの脆弱性が悪用された場合、攻撃者は影響を受けるシステムに対して管理者レベルの制御を奪取できる可能性があります。 影響を受ける製品は以下の通りです。 * MacGregor Voyage Data Recorder (VDR) G4e <V5.250 ### 脆弱性の詳細 **Pen Test Partners**のAndrew Tierney氏によって発見された脆弱性は以下の通りです。 * **CVE-2026-42941**: デフォルト認証情報の使用。VDRデバイスはデフォルトのユーザー名とパスワードで出荷され、ユーザーに変更を強制しません。この脆弱性のCVSS v3スコアは8.3です。 * **CVE-2026-42951**: 不十分な保護の認証情報。認証されたユーザーは、アカウントデータとパスワードハッシュを含むデバイスのバックアップをダウンロードできます。この脆弱性のCVSS v3スコアは8.3です。 * **CVE-2026-42929**: ハードコードされた認証情報の使用。デバイスには、ハードコードされた認証情報を持つデフォルトのアカウントが含まれています。この脆弱性のCVSS v3スコアは8.3です。 ### 影響と緩和策 これらの脆弱性は、特に輸送システム部門において重大なリスクをもたらします。VDRが侵害されると、データの改ざん、システムの停止、その他の悪意のある活動につながる可能性があります。**CISA**は、組織に対し以下の防御策を実施することを強く推奨しています。 * すべての制御システムデバイスおよびシステムについて、インターネットから直接アクセスできないようにネットワーク露出を最小限に抑えます。 * 制御システムネットワークおよびリモートデバイスをファイアウォールで保護し、ビジネスネットワークから隔離します。 * リモートアクセスが必要な場合は、VPNなどの安全な方法を利用し、VPNソリューションが最新のセキュリティパッチで更新されていることを確認します。 * 防御策を展開する前に、適切な影響分析とリスク評価を実施します。 **CISA**はまた、「Defense-in-Depth Strategiesによる産業用制御システムセキュリティの向上」というドキュメントを含め、ICS資産のプロアクティブな防御のための推奨サイバーセキュリティ戦略を提供しています。 不正なアクティビティが疑われる組織は、確立された社内手順に従い、追跡および他のインシデントとの相関のために**CISA**に調査結果を報告することが奨励されます。 ### ベンダー情報 * **ベンダー**: **Danelec** * **影響を受ける製品**: MacGregor Voyage Data Recorder (VDR) G4e * **影響を受けるバージョン**: <V5.250 影響を受ける**MacGregor** VDR G4eバージョンのユーザーは、**Danelec**からパッチが適用されたバージョンが利用可能になり次第、システムを更新することを強く推奨します。