KMW CCTVセキュリティカメラに、認証不要でパスワードをリセットできる深刻な脆弱性が発見されました。この脆弱性を悪用すると、遠隔の攻撃者が正規の認証情報なしにカメラ映像やデバイス設定を完全に掌握できます。
米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年5月28日、ICSアドバイザリ「ICSA-26-148-06」を公開し、継続的に追跡されているこの脆弱性について世界中の組織に正式な警告を発しました。
CVE-2026-5386として追跡されているこの脆弱性は、CWE-620「未検証のパスワード変更」に分類される欠陥に起因しています。
この欠陥により、攻撃者は認証プロセスを一切経ることなく、対象カメラの管理者パスワードを攻撃者が指定した任意の値にリモートからリセットすることが可能です。
パスワードがリセットされると、攻撃者はライブカメラ映像およびすべての管理設定に無制限でアクセスできるようになります。本来セキュリティを守るべき機器が、運用者自身を監視するツールへと転用されてしまうわけです。
この脆弱性のCVSSv3基本スコアは9.1(Critical)で、リモートから悪用可能であること、攻撃の複雑さが低いこと、そして対象システムの機密性と完全性への影響が甚大であることが高評価の要因となっています。
脆弱性の影響を受けることが確認されているKMW IPカメラは2機種です。1つ目はファームウェアバージョン「IPCAM_V4.04.91.230307」を搭載したKM-IP521、2つ目はファームウェアバージョン「IPCAM_V4.04.53.210416」を搭載したKM-IP421です。
CISAのアドバイザリによると、影響を受けるKMWカメラは世界各地において、商業施設、政府サービス・施設、重要製造業、金融サービス、輸送システムという5つの重要インフラ分野に展開されています。
セキュリティインテリジェンスプラットフォームのSOC Defendersは、カメラネットワークがOTおよびITインフラと同一セグメントを共有している可能性があるこれらの環境において、この脆弱性が特に大きなリスクをもたらすと指摘しています。
こうした環境に組み込まれた監視システムへの不正アクセスは、偵察活動、業務妨害、あるいはターゲットネットワーク内部へのラテラルムーブメントの足がかりとなりえます。
この脆弱性を発見したのはセキュリティ研究者のSouvik Kandar氏で、既知の悪用事例が報告される前にCISAへ責任ある開示(Responsible Disclosure)を行い、公開通知の調整を可能にしました。
CISAは、本アドバイザリ公開時点においてCVE-2026-5386の既知の悪用事例は報告されていないと確認しています。
CISAは、影響を受けるKMWモデルを使用している組織に対し、これらのデバイスをインターネットに接続可能なネットワークセグメントから直ちに切り離し、業務ネットワークから隔離されたファイアウォールの内側に設置するよう強く推奨しています。
業務上リモートアクセスが必要な場合は、最新かつ堅牢化されたVPNソリューションのみを通じた接続を徹底してください。ただし、VPNのセキュリティは接続するエンドポイントのセキュリティ水準に依存することを忘れないでください。
また、防御的な設定を展開する前に正式な影響分析とリスク評価を実施するとともに、KMWカメラシステムを標的とした不審な活動を確認した場合は、インシデント間の相関分析のためCISAに報告することが求められています。
翻訳元: https://cyberpress.org/critical-kmw-cctv-flaw/
