JVNDB-2025-002592

チョコ停ウォッチャーmini における複数の脆弱性

因幡電機産業株式会社が提供するチョコ停ウォッチャーmini には、次の複数の脆弱性が存在します。

　* クライアント側だけでの認証（CWE-603） - CVE-2025-24517
　* 復元可能な形式でのパスワード保存（CWE-257） - CVE-2025-24852
　* 不十分なパスワード強度（CWE-521） - CVE-2025-25211
　* 強制ブラウジング（CWE-425） - CVE-2025-26689

この脆弱性情報は、Nozomi Networks Andrea Palanca 氏が製品開発者および CISA ICS に報告し、製品開発者の調整依頼に基づき JPCERT/CC が調整しました。

因幡電機産業株式会社

• チョコ停ウォッチャーmini (IB-MCT001) すべてのバージョン

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

　* 遠隔の攻撃者によって、認証無しでパスワードを取得される（CVE-2025-24517）
　* 当該製品で使用するマイクロ SD カードにアクセス可能な攻撃者によって、パスワードを取得される（CVE-2025-24852）
　* パスワード総当たり攻撃によって不正にログインされる（CVE-2025-25211）
　* 遠隔の攻撃者によって細工した HTTP リクエストを送信されることで、当該製品のデータを取得または削除されたり、設定を改ざんされたりする（CVE-2025-26689）

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

　* 当該製品は LAN 内での使用に限定し、信頼できないネットワークやホストからのアクセスを制限する
　* 当該製品をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク（VPN）などを使用し、不正アクセスを防止した上で、接続を必要最小限にする
　* 当該製品（当該製品に使用するマイクロ SD カードも含む）の取り扱いを権限保有者のみに限定する

詳しくは、開発者が提供する情報を確認してください。

因幡電機産業株式会社

• 因幡電機産業株式会社 : チョコ停ウォッチャーminiにおける複数の脆弱性について（PDF）

1. 復元可能な形式でのパスワード保存(CWE-257) [その他]
2. リクエストの直接送信(CWE-425) [その他]
3. 脆弱なパスワードの要求(CWE-521) [その他]
4. クライアント側認証の使用(CWE-603) [その他]

1. CVE-2025-24517
2. CVE-2025-24852
3. CVE-2025-25211
4. CVE-2025-26689

1. JVN : JVNVU#91154745
2. ICS-CERT ADVISORY : ICSA-25-084-04
3. 関連文書 : Unpatched Vulnerabilities in Production Line Cameras May Allow Remote Surveillance, Hinder Stoppage Recording

• [2025年03月26日]
    掲載