つみかさね

CVE-2026-28742

Critical(9.8)

CVE-2026-28742 — Naxclow IoTデバイス ハードコード署名鍵によるリクエスト偽造

公開日: 2026-06-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Naxclow デバイス(全機種)Naxclow全ファームウェア

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Naxclowデバイスの利用有無とネットワーク上の配置を確認する
  2. 2ベンダーのファームウェアアップデート情報を確認し、最新版へ更新する
  3. 3更新が困難な場合、デバイスをネットワーク上で隔離する
  4. 4CISA ICSアドバイザリ(ICSA-26-162-02)に記載の緩和策を適用する

影響対象

Naxclowデバイス利用者Naxclowデバイスを含むOT/IoT環境

補足

  • -IoT/OTデバイスのファームウェア更新は計画的なメンテナンスウィンドウが必要な場合があります。まずネットワーク隔離で被害を限定することを推奨します
CVENaxclowIoTICSハードコード鍵CISA

概要

Naxclowのデバイスが全ファームウェアに共通のハードコードされた署名ソルトを組み込んでいることが確認されました。CVSSスコアは9.8(CRITICAL)です。CISAがICSセキュリティアドバイザリ(ICSA-26-162-02)を発行しています。

いずれか1台のデバイスからソルトを取り出せば、任意のデバイスまたはアカウントへの操作リクエストに有効な署名を生成できます。デバイスごとの固有鍵やサーバー側のノンス追跡・リプレイ防止機構がなく、制御プレーン通信にHTTPを使用しているため、プラットフォーム全体にわたるリクエスト偽造となりすましが可能です。

CVSSベクトル

項目
スコア9.8 (CRITICAL)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)不要 (N)
ユーザー操作 (UI)不要 (N)
CWECWE-321(ハードコードされた暗号鍵の使用)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Naxclow デバイスNaxclow全ファームウェア(対策版は要確認)

修正バージョンと回避策

修正: ベンダーのアドバイザリおよびCISA ICSアドバイザリ(ICSA-26-162-02)を参照し、最新ファームウェアへの更新とベンダー推奨の対策を実施してください。

緩和策として検討できる対応:

  • デバイスをネットワーク上で分離し、外部からのアクセスを制限する
  • 制御プレーン通信にHTTPSを強制できる場合は設定を変更する
  • 通信ログを監視して不審なリクエストを検知する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-28742
CISA ICS Advisory:https://www.cisa.gov/news-events/ics-advisories/icsa-26-162-02
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。