## Yadea T5 電動自転車における脆弱性が発見される セキュリティ研究者らが、Yadea T5 電動自転車に重大な脆弱性を特定しました。この脆弱性により、悪意のある攻撃者が車両を盗むことが可能になります。CVE-2025-70994として特定されたこの欠陥は、信号偽装に対して自転車を脆弱にする、弱い認証メカニズムに起因しています。 ### 技術的詳細 この脆弱性は、自転車のキーフォブ認証プロセスに存在します。正規のキーフォブ送信を傍受できるローカル攻撃者は、自転車のロックを解除し始動するための信号を偽装できます。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、この脆弱性が悪用された場合、直接的な車両盗難につながる可能性があります。 影響を受ける製品は以下の通りです。 * Yadea T5 電動自転車: versions all/*  ### CVSSスコアと影響を受ける製品 この脆弱性のCVSS v3スコアは7.3であり、高い深刻度を示しています。以下の表に主要な詳細をまとめます。 | CVSS | Vendor | Equipment | Vulnerabilities | | :---- | :----- | :------------------------- | :-------------------- | | v3 7.3 | Yadea | Yadea T5 Electric Bicycle | Weak Authentication | この脆弱性に関連する共通脆弱性列挙（CWE）はCWE-1390であり、特に弱い認証に対処しています。 ### 影響 * **重要インフラセクター:** 交通システム * **展開されている国/地域:** 世界中 * **本社所在地:** 中国 ### 緩和策と推奨事項 現時点ではYadeaから特定のパッチまたはファームウェアアップデートはリリースされていませんが、CISAは組織に対し、プロアクティブな防御のための推奨されるサイバーセキュリティ戦略を実装することを推奨しています。これらには以下が含まれます。 * 防御の多層化戦略の実装。 * 不審なネットワークアクティビティの監視。 * 確立された内部手順に従い、追跡および他のインシデントとの相関のためにCISAに調査結果を報告すること。 CISAは、ICSのウェブページでさらなるガイダンスと推奨される実践を提供しています。 ### 謝辞 Ashen Chathuranga氏がこの脆弱性をMITREおよびCISAに報告しました。 ### 参考文献 * [CISA ICS webpage](https://www.cisa.gov/ics) * [CVE-2025-70994](https://www.cve.org/CVERecord?id=CVE-2025-70994) * [CWE-1390](https://cwe.mitre.org/data/definitions/1390.html)