公開日:2025/08/05 最終更新日:2025/09/18

JVNVU#90283680
三菱電機製エコガイドTABにおける複数の脆弱性

概要

三菱太陽光発電システム用モニターのエコガイドTABには、複数の脆弱性が存在します。

影響を受けるシステム

  • PV-DR004J 全バージョン
  • PV-DR004JA 全バージョン
開発者によると、当該製品が接続されているパワーコンディショナ、接続箱、太陽電池モジュール等の発電機能に関連する機器は、この脆弱性の影響を受けないとのことです。
また、個別エアコン操作の機能があるバージョンは限定されているとのことです
なお、開発者によると、当該製品は2015年に生産終了、2020年に保守サポート終了とのことです。

詳しくは、開発者が提供する情報を確認してください。

詳細情報

三菱電機株式会社が提供する三菱太陽光発電システム用モニターのエコガイドTABには、次の複数の脆弱性が存在します。

  • 不十分なパスワード強度(CWE-521)- CVE-2025-5022
  • ハードコードされた認証情報の使用(CWE-798)- CVE-2025-5023

想定される影響

想定される影響は脆弱性により異なりますが、次のような可能性があります。

  • 当該製品のユニット間(計測ユニット・表示ユニット間)のWi-Fi通信の通信エリア内に侵入した攻撃者によって、SSIDからパスワードを算出される(CVE-2025-5022)
  • 当該製品で個別エアコン操作の機能が使用できるように設定されている場合には、本脆弱性を悪用してユニット間のWi-Fi通信に侵入した攻撃者によってECHONET Liteのコマンドが実行されることで、エアコンの運転ON/OFFや設定温度の変更等の操作をされる(CVE-2025-5022)
  • ユニット間のWi-Fi通信に侵入した攻撃者によってハードコーディングされた製品シリーズ共通のユーザIDとパスワードを使用し、当該製品に保持されている発電電力や売電電力等の情報の取得、当該製品に保持または設定されている情報の改ざんや破壊、当該製品のサービス運用妨害(DoS)(CVE-2025-5023)
詳しくは、開発者が提供する情報を確認してください。

対策方法

使用中止を検討するまたはワークアラウンドを実施する
保守サポート終了製品のため、対策版の提供はありません。
開発者は製品の使用停止、使用継続する場合は軽減策の適用を推奨しています。
なお、製品の使用停止をする場合、個別エアコン操作機能の有無によって方法が異なるとのことです。

軽減策や利用停止の詳細については、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
三菱電機株式会社 エコガイドTABにおける情報漏えいの脆弱性並びに情報漏えい、情報改ざん及びサービス拒否(DoS)の脆弱性

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2025/09/18
[影響を受けるシステム]、[想定される影響]、[対策方法]を更新しました