概要
Mobility46 mobility46.seが提供する充電インフラにおいて、OCPP (Open Charge Point Protocol) WebSocketエンドポイントに認証不備の脆弱性(CVE-2026-27028)が報告されました。この脆弱性により、適切な認証メカニズムが欠如しているため、攻撃者は充電ステーションの不正ななりすましや、バックエンドに送信されるデータの操作を行う可能性があります。
影響範囲
本脆弱性は、Mobility46 mobility46.seの充電インフラが使用するOCPP WebSocketエンドポイントに影響を与えるとされています。
想定される影響
認証されていない攻撃者が、既知または発見された充電ステーション識別子を用いてOCPP WebSocketエンドポイントに接続できる可能性があります。これにより、以下のような深刻な影響が懸念されます。
- 充電ステーションの不正ななりすまし
- 充電インフラの不正な制御
- 充電ネットワークデータ(バックエンドに報告されるデータ)の破損
- 権限昇格の可能性
攻撃成立条件・悪用状況
攻撃は、認証されていない攻撃者がOCPP WebSocketエンドポイントに接続し、正規の充電器としてOCPPコマンドを発行または受信することで成立する可能性があります。報告によると、認証が不要であるため、攻撃者は容易にこの脆弱性を悪用できる状況にあるとされています。現時点での具体的な悪用状況については、詳細な情報が公開されていません。
推奨対策
今すぐできる対策
- 認証メカニズムの導入・強化: OCPP WebSocketエンドポイントへのアクセスに対して、強力な認証メカニズム(例: クライアント証明書、APIキー、OAuthなど)を導入または既存のものを強化してください。
- ネットワークレベルでのアクセス制限: ファイアウォールやネットワークACL (Access Control List) を用いて、OCPP WebSocketエンドポイントへのアクセスを信頼できるIPアドレス範囲に限定してください。
中長期的な対策
- 定期的なセキュリティ監査と脆弱性診断: 充電インフラ全体に対して定期的なセキュリティ監査と脆弱性診断を実施し、潜在的なリスクを特定・対処してください。
- OCPP通信の暗号化: OCPP通信が常にTLS/SSLなどの暗号化プロトコルを使用していることを確認し、中間者攻撃を防ぐための対策を徹底してください。
- セキュリティポリシーの見直し: 充電インフラの運用におけるセキュリティポリシーを見直し、認証、認可、監視に関する要件を強化してください。
一時的な緩和策
- OCPP WebSocketエンドポイントへのアクセスを、必要最小限のシステムおよびネットワークに限定する一時的なファイアウォールルールを適用することを検討してください。
- 不審な通信パターンや異常なOCPPコマンド発行がないか、ネットワークトラフィックおよびシステムログの監視を強化してください。
確認方法
- OCPP WebSocketエンドポイントへの接続試行時に、認証が正しく要求され、不正なアクセスが拒否されることをテストしてください。
- システムログやネットワークログを定期的に確認し、未知の充電ステーション識別子からの接続試行や、認証なしでのOCPPコマンド発行がないかを監視してください。
参考情報
- CVE-2026-27028の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-27028