産業向けネットワーク機器「Daikin Security Gateway」に、認証をバイパスできる重大な脆弱性(CVE-2025-10127)が公表されました。
脆弱性はパスワードリカバリー機構の不備(CWE-640)に起因し、攻撃者は事前認証なし/低難易度/遠隔で管理画面にアクセスできる可能性があります。
メーカーは脆弱性を修正しない姿勢
ダイキンは本脆弱性を修正しない姿勢をCISAに伝えており、個別問い合わせに応じる方針です。
CISAは「公開済みエクスプロイト(PoC)が存在する」と注意喚起する一方で、「この脆弱性を標的にした公的な悪用報告は未確認」とも述べています。
一方、PoCが公表されると悪用のリスクが上昇しますので、この製品を引き続き利用するなら接続元のIPを制限し、当該機器の外向け通信の監視を行う必要があります。
影響範囲
CISAが影響対象として明記したのはSecurity Gateway(App: 100, Frm: 214)の組み合わせです。背景にはエネルギー分野を中心に世界的に配備されているという利用実態があり、HVACやエネルギー管理、施設インフラの遠隔監視/制御で使われるケースが典型です。

-200x200.png)


」、CISAが即時対応を通達-200x200.png)



