概要
OCPP(Open Charge Point Protocol)は、EV充電ステーションと中央管理システム間の通信に広く利用されるオープンプロトコルです。本脆弱性は、OCPPのWebSocketエンドポイントに認証メカニズムが実装されていない問題に起因します。
攻撃者は、既知のチャージングステーション識別子を使用してWebSocketエンドポイントに接続し、正規の充電器になりすましてOCPPコマンドの送受信を行うことが可能です。これにより、充電インフラの不正制御、課金データの改ざん、充電セッションの妨害といった被害が想定されます。EV充電インフラは重要なICS(産業制御システム)の一部であり、影響は広範囲に及ぶ可能性があります。
本脆弱性に関してはCISA(米国サイバーセキュリティ・インフラセキュリティ庁)がICSアドバイザリを発行しており、影響を受けるシステムの運用者は速やかにWebSocketエンドポイントへの認証機構の導入を行う必要があります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.4 |
| 深刻度 | Critical |
| CWE | CWE-306 (認証の欠如) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| OCPP WebSocket実装 | 各ベンダー | 認証未実装の全バージョン |
修正バージョンと回避策
- 修正バージョン: WebSocketエンドポイントへの認証メカニズムの実装(ベンダー提供のアップデートを適用)
- 暫定回避策: WebSocketエンドポイントへのネットワークアクセスを制限し、TLSクライアント証明書による認証を導入する。ステーション識別子の推測を困難にするため、予測不可能な識別子の使用を検討する
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。