概要
Command Centre Mobile ClientのAndroidおよびiOS版において、機密情報が平文で保存される脆弱性(CWE-312: Cleartext Storage of Sensitive Information)が報告されました。この脆弱性(CVE-2025-47147)が悪用された場合、攻撃者はログイン中のオペレーターのモバイルデバイスに物理的または論理的にアクセスすることで、セッショントークンを抽出し、そのトークンを利用して一定期間、システムへの不正アクセスを行う可能性があります。本脆弱性の深刻度は「MEDIUM」と評価されています。
影響範囲
この脆弱性の影響を受けるのは、Command Centre Mobile Clientのバージョン9.40.123より前のAndroidおよびiOS版です。
想定される影響
- 攻撃者がログイン済みのオペレーターのモバイルデバイスにアクセスできた場合、デバイス内に平文で保存されているセッショントークンを窃取される可能性があります。
- 窃取されたセッショントークンを利用されることで、攻撃者は一定期間、正規のオペレーターとしてシステムに不正アクセスを行う可能性があります。これにより、機密情報の閲覧や操作など、意図しない事態が発生する恐れがあります。
攻撃成立条件・悪用状況
攻撃が成立するためには、攻撃者がログイン中のオペレーターのモバイルデバイスにアクセスできる必要があります。これは、デバイスの紛失・盗難、またはマルウェア感染などによる論理的なアクセスが考えられます。
現在のところ、本脆弱性の悪用状況に関する具体的な報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- Command Centre Mobile Clientを、脆弱性が修正されたバージョン9.40.123以降に速やかにアップデートしてください。
中長期的な対策
- モバイルデバイスのセキュリティ対策を強化し、紛失・盗難時のデータ保護策(リモートワイプ、画面ロックパスワードの強制など)を徹底してください。
- 不審なアプリケーションのインストールを避けるなど、マルウェア感染防止策を講じてください。
- セッショントークンの有効期間を短縮する設定が可能であれば、検討してください。
一時的な緩和策
現時点での最も効果的な緩和策は、対象クライアントのアップデートです。アップデートが困難な場合は、モバイルデバイスの物理的なセキュリティを強化し、オペレーターがデバイスを離れる際には必ずロックをかけるなどの運用を徹底してください。
確認方法
現在使用しているCommand Centre Mobile Clientのバージョンを確認し、9.40.123より前のバージョンである場合は脆弱性の影響を受けます。
参考情報
本脆弱性に関する詳細情報は、以下のリンクをご参照ください。