公開日:2025/03/25 最終更新日:2025/03/26

JVNVU#91154745
チョコ停ウォッチャーminiにおける複数の脆弱性

概要

因幡電機産業株式会社が提供するチョコ停ウォッチャーminiには、複数の脆弱性が存在します。

影響を受けるシステム

  • チョコ停ウォッチャーmini(IB-MCT001)すべてのバージョン

詳細情報

因幡電機産業株式会社が提供するチョコ停ウォッチャーminiには、次の複数の脆弱性が存在します。

  • クライアント側だけでの認証(CWE-603
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5
    • CVE-2025-24517
  • 復元可能な形式でのパスワード保存(CWE-257
    • CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 4.6
    • CVE-2025-24852
  • 不十分なパスワード強度(CWE-521
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
    • CVE-2025-25211
  • 強制ブラウジング(CWE-425
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
    • CVE-2025-26689

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の攻撃者によって、認証無しでパスワードを取得される(CVE-2025-24517)
  • 当該製品で使用するマイクロSDカードにアクセス可能な攻撃者によって、パスワードを取得される(CVE-2025-24852)
  • パスワード総当たり攻撃によって不正にログインされる(CVE-2025-25211)
  • 遠隔の攻撃者によって細工したHTTPリクエストを送信されることで、当該製品のデータを取得または削除されたり、設定を改ざんされたりする(CVE-2025-26689)

対策方法

ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • 当該製品はLAN内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する
  • 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)などを使用し、不正アクセスを防止した上で、接続を必要最小限にする
  • 当該製品(当該製品に使用するマイクロSDカードも含む)の取り扱いを権限保有者のみに限定する
詳しくは、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
因幡電機産業株式会社 チョコ停ウォッチャーminiにおける複数の脆弱性について(PDF)

参考情報

  1. ICS Advisory | ICSA-25-084-04
    Inaba Denki Sangyo CHOCO TEI WATCHER mini
  2. Nozomi Networks
    Unpatched Vulnerabilities in Production Line Cameras May Allow Remote Surveillance, Hinder Stoppage Recording

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、Nozomi Networks Andrea Palanca 氏が製品開発者およびCISA ICSに報告し、製品開発者の調整依頼に基づきJPCERT/CCが調整しました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2025-24517
CVE-2025-24852
CVE-2025-25211
CVE-2025-26689
JVN iPedia

更新履歴

2025/03/26
[参考情報]を更新しました