はじめに:WHILL電動車椅子に重大な脆弱性
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、WHILL製Model C2電動車椅子およびModel F電動カートに存在する深刻なセキュリティ脆弱性について緊急警告を発しました。この脆弱性により、攻撃者がBluetooth経由でこれらのデバイスを乗っ取る可能性があります。
脆弱性の詳細
この脆弱性は「CVE-2025-14346」として追跡されており、CVSS v3スコアは9.8点と評価されており、極めて重大な危険性を示しています。QED Secure Solutionsのセキュリティ研究者によって発見されたこの問題は、WHILLの移動機器における重要な機能に対する認証メカニズムの欠如に起因します。
- CVE ID: CVE-2025-14346
- CVSS v3 スコア: 9.8
- 影響を受ける製品: WHILL Model C2 電動車椅子、WHILL Model F 電動カート
- 脆弱性の種類: 重要な機能に対する認証の欠如
攻撃手法と潜在的リスク
攻撃者はBluetoothの通信範囲内(標準的なBluetooth接続範囲である約9メートル以内)から、ユーザーの操作や承認なしに車椅子を乗っ取ることが可能です。これにより、悪意のある行為者が移動を妨害したり、突然停止させたり、あるいは椅子の動きを誤った方向に誘導したりする可能性があります。この種の脆弱性は、特に医療施設や個人ユーザーによって広く利用されているデバイスにおいて、脆弱な個人を即座の危険にさらすものです。
脆弱性の発見と情報公開
日本の移動機器メーカーであるWHILL Inc.が製造するこれらの車椅子は、屋内外での使用向けに設計されています。QED Secure Solutionsの研究チームは、Billy Rios氏、Jesse Young氏らを含むメンバーがこの脆弱性を発見し、責任ある情報開示としてCISAに報告しました。彼らの発見は、利便性と接続性を優先するあまり、堅牢なセキュリティ制御がおろそかになりがちなIoMT(Internet of Medical Things)デバイスにおける、増大するセキュリティ課題を浮き彫りにしています。
推奨される対策
CISAは、CVE-2025-14346に対するパッチや軽減策がWHILLによって開発されたかどうかはまだ確認していません。影響を受ける車椅子のユーザーは、セキュリティアップデートについてWHILLに直接問い合わせるとともに、コンパニオンアプリケーションを積極的に使用していない時にはBluetooth接続を制限することを検討すべきです。医療施設は、患者エリア付近での不正なBluetoothアクセスを防ぐために、導入状況を評価し、追加の物理的セキュリティ対策を講じる必要があります。
CISAアドバイザリ
このアドバイザリ(ICSMA-25-364-01)は、2025年12月30日に公開されました。これは、CISAが産業用制御システムおよび医療機器を新たな脅威から保護するための継続的な取り組みの一環です。
元記事: https://gbhackers.com/cisa-issues-warning-on-whill-model-c2-vulnerabilities/