米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2025年6月10日(米国時間)、「SinoTrack GPS Receiver|CISA」において、中国を拠点とするSinoTrackのWeb管理インタフェースに複数の脆弱性が存在すると伝えた。

対象の脆弱性を悪用されると、認証されていない第三者に遠隔からコネクティッドカーの位置を追跡されたり、燃料ポンプの電源を切断されたりする可能性がある。

  • SinoTrack GPS Receiver|CISA

    SinoTrack GPS Receiver|CISA

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-5484 - 弱い認証の脆弱性。SinoTrackデバイス管理インタフェースはデバイスに印字された識別子とパスワードで認証するが、すべてのデバイスで共通のデフォルトパスワードが設定されている。デバイスのセットアップ時にパスワードの変更を強制しないことから、攻撃者はデフォルトパスワードを使用して不正アクセスできる可能性がある(CVSSスコア: 8.3)
  • CVE-2025-5485 - 識別子を推測可能な脆弱性。攻撃者は数値で構成された識別子を増減することで、他のデバイスの識別子を列挙することができる(CVSSスコア: 8.6)

脆弱性が存在する製品

脆弱性はSinoTrack IoT PCプラットフォームに存在し、同管理インターフェイスから制御できるすべての製品に影響する。

対策

SinoTrackはCISAからの問い合わせに応答しておらず、現時点で修正の見込みはない。デバイスの識別子は直接デバイスを観察して取得するか、ソーシャルネットワーキングサービス(SNS: Social networking service)などに公開されている画像から入手できるとの指摘がある。また、既知の識別子を増減することで、対象を限定せずに攻撃することも可能とされる。

CISAは攻撃を回避するために、SinoTrack製品の利用者に次の緩和策の実施を推奨している。

  • 直ちに管理インタフェース(https://sinotrack.com/)にアクセスし、一意で強力なパスワードに変更する
  • デバイスの識別子を公開しないように注意する。ソーシャルネットワーキングサービスなどに写真を公開している場合は、写真を削除するか識別子を隠した画像に差し替える

SinoTrack製品は国内にも流通しているとみられ、該当デバイスを所有しているユーザーには速やかな対策の実施が望まれている。