ダイキン製「Daikin Security Gateway」で重大な脆弱性(CVE-2025-10127)

セキュリティニュース

投稿日時: 更新日時:

ダイキン製「Daikin Security Gateway」で重大な脆弱性(CVE-2025-10127)

産業向けネットワーク機器「Daikin Security Gateway」に、認証をバイパスできる重大な脆弱性(CVE-2025-10127)が公表されました。

脆弱性はパスワードリカバリー機構の不備(CWE-640)に起因し、攻撃者は事前認証なし/低難易度/遠隔で管理画面にアクセスできる可能性があります。

メーカーは脆弱性を修正しない姿勢

ダイキンは本脆弱性を修正しない姿勢をCISAに伝えており、個別問い合わせに応じる方針です。

CISAは「公開済みエクスプロイト(PoC)が存在する」と注意喚起する一方で、「この脆弱性を標的にした公的な悪用報告は未確認」とも述べています。

一方、PoCが公表されると悪用のリスクが上昇しますので、この製品を引き続き利用するなら接続元のIPを制限し、当該機器の外向け通信の監視を行う必要があります。

影響範囲

CISAが影響対象として明記したのはSecurity Gateway(App: 100, Frm: 214)の組み合わせです。背景にはエネルギー分野を中心に世界的に配備されているという利用実態があり、HVACやエネルギー管理、施設インフラの遠隔監視/制御で使われるケースが典型です。