Published: 2025-03-28 08:00
チョコ停ウォッチャーmini に複数の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月26日、チョコ停ウォッチャーminiにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Nozomi NetworksのAndrea Palanca氏が製品開発者およびCISA ICSに報告を行っている。影響を受けるシステムは以下の通り。
チョコ停ウォッチャーmini(IB-MCT001)すべてのバージョン
因幡電機産業株式会社が提供するチョコ停ウォッチャーminiには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・クライアント側だけでの認証(CVE-2025-24517)
□遠隔の攻撃者によって、認証無しでパスワードを取得される
・復元可能な形式でのパスワード保存(CVE-2025-24852)
□当該製品で使用するマイクロSDカードにアクセス可能な攻撃者によって、パスワードを取得される
・不十分なパスワード強度(CVE-2025-25211)
□パスワード総当たり攻撃によって不正にログインされる
・強制ブラウジング(CVE-2025-26689)
□遠隔の攻撃者によって細工したHTTPリクエストを送信されることで、当該製品のデータを取得または削除されたり設定を改ざんされたりする
JVNでは、下記のワークアラウンドの実施を呼びかけている。
・当該製品はLAN内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する
・当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)などを使用し、不正アクセスを防止した上で接続を必要最小限にする
・当該製品(当該製品に使用するマイクロSDカードも含む)の取り扱いを権限保有者のみに限定する
| # | 言葉 | 意味 |
|---|---|---|
| 7 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 6 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 4 | よる | よる (因る) : 1. to be due to; to be caused by 2. to depend on; to turn on |
| 4 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |
| 3 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 3 | 取得 | とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace |
| 2 | および | および (及び) : and; as well as |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 下記 | かき (下記) : the following |
| 2 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 2 | 遠隔 | えんかく (遠隔) : distant; remote; isolated |
| 2 | 可能 | かのう (可能) : possible; potential; practicable; feasible |
| 2 | SD | ひょうじゅんへんさ (標準偏差) : standard deviation; SD |
| 2 | たり | たり : 1. -ing and -ing (e.g. "coming and going") 2. doing such things as... |
| 2 | 限定 | げんてい (限定) : limit; restriction |
| 2 | 接続 | せつぞく (接続) : 1. connection; attachment; union; join; joint; link 2. changing trains |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | すべて | すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all |
| 1 | 因幡 | いなば (因幡) : Inaba (former province located in the east of present-day Tottori Prefecture) |
| 1 | 電機 | でんき (電機) : electrical machinery; appliances |
| 1 | 産業 | さんぎょう (産業) : 1. industry 2. livelihood; occupation |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 無し | なし (無し) : 1. without 2. unacceptable; not alright; unsatisfactory |
| 1 | 復元 | ふくげん (復元) : restoration (to original state or location); reconstruction; reversion |
| 1 | 形式 | けいしき (形式) : 1. form (as opposed to substance); formality 2. method; system; style |
| 1 | 保存 | ほぞん (保存) : 1. preservation; conservation; storage; maintenance 2. saving (e.g. to disk) |
| 1 | 不十分 | ふじゅうぶん (不十分) : insufficient; inadequate; imperfect |
| 1 | 強度 | きょうど (強度) : 1. strength; intensity 2. strong (e.g. glasses); powerful (e.g. lens); intense (e.g. fear); extreme |
| 1 | 総当たり攻撃 | そうあたりこうげき (総当たり攻撃) : brute-force attack |
| 1 | 不正 | ふせい (不正) : injustice; unfairness; wrongdoing; iniquity; impropriety; irregularity; dishonesty; illegality; fraud |
| 1 | 強制 | きょうせい (強制) : compulsion; coercion; forcing (to do); enforcement |
| 1 | 細工 | さいく (細工) : 1. work; workmanship; craftsmanship; handiwork 2. artifice; trick; device; tampering; doctoring |
| 1 | 送信 | そうしん (送信) : transmission; sending |
| 1 | 削除 | さくじょ (削除) : deletion; elimination; erasure; striking out |
| 1 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 1 | 改ざん | かいざん (改ざん) : alteration; falsification; faking |
| 1 | 実施 | じっし (実施) : enforcement; implementation; putting into practice; carrying out; operation; working (e.g. working parameters); enactment |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | 内 | うち (内) : 1. inside; within 2. while (e.g. one is young); during; within (e.g. a day); in the course of |
| 1 | 信頼 | しんらい (信頼) : reliance; trust; faith; confidence |
| 1 | 制限 | せいげん (制限) : restriction; restraint; limitation; limit |
| 1 | 仮想 | かそう (仮想) : imagination; supposition; virtual; potential (enemy) |
| 1 | 不正アクセス | ふせいアクセス (不正アクセス) : unauthorized (computer) access; hacking |
| 1 | 防止 | ぼうし (防止) : prevention; check |
| 1 | 含む | ふくむ (含む) : 1. to contain; to comprise; to have; to hold; to include; to embrace 2. to hold in the mouth |
| 1 | 取り扱い | とりあつかい (取り扱い) : treatment; service; handling; management |
| 1 | 権限 | けんげん (権限) : power; authority; jurisdiction |
| 1 | 保有 | ほゆう (保有) : possession; retention; maintenance |
| 1 | のみ | のみ : only; nothing but |