日本光電のセントラルモニタ「CNS-6201」にDoS 脆弱性-対象はサポート終了品(CVE-2025-59668)

セキュリティニュース

投稿日時: 更新日時:

日本光電のセントラルモニタ「CNS-6201」にDoS 脆弱性-対象はサポート終了品(CVE-2025-59668)

2025年9月、日本光電のセントラルモニタ CNS-6201 に、NULL ポインタ参照(CWE-476)が原因のサービス拒否(DoS)脆弱性 CVE-2025-59668 が確認されました。攻撃者が細工した UDP パケットを送るだけでプロセスが異常終了し、監視機能が止まる可能性があります。認証は不要で、当該機器の UDP サービスにネットワーク到達できれば再現します。

対象バージョン

  • CNS-6201:01-03/01-04/01-05/01-06/02-10/02-11/02-40

いずれもサポート終了(EOS/EOL)のバージョンです(米国は 2024年9月でEOS、その他地域も当該版は保守終了)。

脆弱性のスコアはCVSS v3.1:7.5となりリスクがある脆弱性ですので、商品のリプレースをお勧めします。

技術的な原因

UDP 受信処理に不備があり、特定条件のパケットでNULL ポインタ参照が発生、プロセスが落ちてDoSに至ります。ネットワーク経由の無認証攻撃である点が実務上のリスクです。

病院/医療機関へのサイバー攻撃

2025年、医療機関を標的としたサイバー攻撃が急増し、患者情報の大規模漏洩や医療サービスの停止など重大なインシデントが多発しています。

特にランサムウェアグループ「Qilin」による組織的な攻撃と、記録媒体管理の不備による内部要因の両面から、医療分野のセキュリティリスクが顕在化しています。本資料では病院はクリニックへのサイバー攻撃の事例や内部要因でのインシデント、情報漏洩の事例と対策を記載しています。