# OpenCode Systems Messaging Gatewayにおける重大なアクセス制御の脆弱性が発見される ## 要約 **OpenCode Systems**のOC MessagingおよびUSSD Gatewayに、重大なセキュリティ脆弱性が発見されました。この脆弱性を悪用されると、認証済みの低権限ユーザーが、細工された企業またはテナント識別子パラメータを通じて、自身の権限範囲外のSMSメッセージにアクセスできるようになる可能性があります。この脆弱性は**CVE-2025-70614**として追跡されています。 以下のバージョンのOpenCode Systems OC MessagingおよびUSSD Gatewayが影響を受けます。 * OC Messaging 6.32.2 (**CVE-2025-70614**) * USSD Gateway 6.32.2 (**CVE-2025-70614**) ## 脆弱性の詳細 | CVSS | ベンダー | 機器 | 脆弱性 | | :----- | :---------------- | :--------------------------------------------- | :----------------- | | v3 8.1 | OpenCode Systems | OpenCode Systems OC Messaging and USSD Gateway | 不適切なアクセス制御 | ### 背景 * **重要インフラセクター:** 通信 * **展開国/地域:** 世界中 * **本社所在地:** ブルガリア --- ## 脆弱性 ### CVE-2025-70614 **OpenCode Systems** Custom Messaging Gateway 6.32.2には、Webアクセスに関する脆弱性が含まれており、認証済みのユーザーが細工された識別子パラメータを通じて、別の認証済みユーザーのメッセージにアクセスできるようになります。 [CVE詳細を表示](https://www.cve.org/CVERecord?id=CVE-2025-70614) --- #### 影響を受ける製品 ##### OpenCode Systems OC Messaging and USSD Gateway **ベンダー:** OpenCode Systems **製品バージョン:** OpenCode Systems OC Messaging: 6.32.2, OpenCode Systems USSD Gateway: 6.32.2 **製品ステータス:** known_affected **関連CWE:** [CWE-284 不適切なアクセス制御](https://cwe.mitre.org/data/definitions/284.html) --- #### メトリクス ## 緩和策の推奨 **サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**は、ユーザーに対し、この脆弱性の悪用リスクを最小限に抑えるための防御策を講じることを推奨しています。主な推奨事項は以下の通りです。 * すべての制御システムデバイスおよび/またはシステムについて、インターネットからアクセスできないように、ネットワークへの露出を最小限に抑えてください。 * 制御システムネットワークとリモートデバイスをファイアウォールで保護し、ビジネスネットワークから分離してください。 * リモートアクセスが必要な場合は、Virtual Private Networks (**VPN**)などのより安全な方法を使用してください。ただし、VPN自体にも脆弱性が存在する可能性があるため、利用可能な最新バージョンに更新する必要があることに留意してください。また、VPNは接続されているデバイスと同等のセキュリティしか持たないことも認識してください。 CISAは、組織に対し、防御策を展開する前に適切な影響分析とリスク評価を実施することを再度推奨しています。 ## 追加リソース CISAは、cisa.gov/icsのICSウェブページで、制御システムセキュリティの推奨プラクティスに関するセクションも提供しています。産業制御システム（ICS）のサイバーセキュリティを改善するための防御戦略に関する、いくつかのCISA製品が閲覧およびダウンロード可能です。 CISAは、ICS資産のプロアクティブな防御のために、推奨されるサイバーセキュリティ戦略を実装することを組織に奨励しています。 追加の緩和ガイダンスと推奨プラクティスは、cisa.gov/icsのICSウェブページで、技術情報ペーパーICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategiesで公開されています。 疑わしい悪意のあるアクティビティを観察した組織は、確立された内部手順に従い、他のインシデントとの追跡および相関のためにCISAに調査結果を報告する必要があります。 CISAはまた、ユーザーがソーシャルエンジニアリング攻撃から身を守るために、以下の対策を講じることを推奨しています。 * 受信したことのない電子メールメッセージのWebリンクをクリックしたり、添付ファイルを開いたりしないでください。 * 電子メール詐欺を回避する方法については、「Recognizing and Avoiding Email Scams」を参照してください。 * ソーシャルエンジニアリング攻撃を回避する方法については、「Avoiding Social Engineering and Phishing Attacks」を参照してください。 現時点では、この脆弱性を標的とした既知の公開された悪用事例はCISAに報告されていません。 --- ## 謝辞 Hussein Amer氏がこの脆弱性をCISAに報告しました。 ## 改訂履歴 | 日付 | 改訂 | 要約 | | :--------- | :--- | :-------------- | | 2026-03-26 | 1 | 初版公開 | --- [CSAFを表示](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-085-02.json)