2025年9月、日本光電のセントラルモニタ CNS-6201 に、NULL ポインタ参照(CWE-476)が原因のサービス拒否(DoS)脆弱性 CVE-2025-59668 が確認されました。攻撃者が細工した UDP パケットを送るだけでプロセスが異常終了し、監視機能が止まる可能性があります。認証は不要で、当該機器の UDP サービスにネットワーク到達できれば再現します。
対象バージョン
-
CNS-6201:01-03/01-04/01-05/01-06/02-10/02-11/02-40
いずれもサポート終了(EOS/EOL)のバージョンです(米国は 2024年9月でEOS、その他地域も当該版は保守終了)。
脆弱性のスコアはCVSS v3.1:7.5となりリスクがある脆弱性ですので、商品のリプレースをお勧めします。
技術的な原因
UDP 受信処理に不備があり、特定条件のパケットでNULL ポインタ参照が発生、プロセスが落ちてDoSに至ります。ネットワーク経由の無認証攻撃である点が実務上のリスクです。
病院/医療機関へのサイバー攻撃
2025年、医療機関を標的としたサイバー攻撃が急増し、患者情報の大規模漏洩や医療サービスの停止など重大なインシデントが多発しています。
特にランサムウェアグループ「Qilin」による組織的な攻撃と、記録媒体管理の不備による内部要因の両面から、医療分野のセキュリティリスクが顕在化しています。本資料では病院はクリニックへのサイバー攻撃の事例や内部要因でのインシデント、情報漏洩の事例と対策を記載しています。








