公開日:2025/08/05 最終更新日:2025/08/05

JVNVU#90283680
三菱電機製エコガイドTABにおける複数の脆弱性

概要

三菱太陽光発電システム用モニターのエコガイドTABには、複数の脆弱性が存在します。

影響を受けるシステム

  • PV-DR004J 全バージョン
  • PV-DR004JA 全バージョン
開発者によると、当該製品が接続されているパワーコンディショナ、接続箱、太陽電池モジュール等の発電機能に関連する機器は、この脆弱性の影響を受けないとのことです。
また、開発者によると、当該製品は2015年に生産終了、2020年に保守サポート終了とのことです。

詳しくは、開発者が提供する情報を確認してください。

詳細情報

三菱電機株式会社が提供する三菱太陽光発電システム用モニターのエコガイドTABには、次の複数の脆弱性が存在します。

  • 不十分なパスワード強度(CWE-521)- CVE-2025-5022
  • ハードコードされた認証情報の使用(CWE-798)- CVE-2025-5023

想定される影響

想定される影響は脆弱性により異なりますが、次のような可能性があります。

  • 当該製品のユニット間(計測ユニット・表示ユニット間)のWi-Fi通信の通信エリア内に侵入した攻撃者によって、SSIDからパスワードを算出される(CVE-2025-5022)
  • ユニット間のWi-Fi通信に侵入した攻撃者によってハードコーディングされた製品シリーズ共通のユーザIDとパスワードを使用し、当該製品に保持されている発電電力や売電電力等の情報の取得、当該製品に保持または設定されている情報の改ざんや破壊、当該製品のサービス運用妨害(DoS)(CVE-2025-5023)
詳しくは、開発者が提供する情報を確認してください。

対策方法

使用中止を検討するまたはワークアラウンドを実施する
保守サポート終了製品のため、対策版の提供はありません。
開発者は製品の使用停止、使用継続する場合は軽減策の適用を推奨しています。
軽減策の詳細については、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 エコガイドTABにおける情報漏えいの脆弱性並びに情報漏えい、情報改ざん及びサービス拒否(DoS)の脆弱性

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia