概要
セキュリティ企業Forescoutの研究部門「Vedere Labs」は2026年4月21日、LantronixおよびSilexが製造するシリアル-IPコンバーターに合計22件の新たな脆弱性を発見したと発表した。これらの脆弱性群は「BRIDGE:BREAK」と命名されており、産業用制御システム(OT)や医療機器など重要インフラに接続されたデバイスをハッキングのリスクにさらす深刻な問題として注目されている。調査によると、世界中でほぼ2万台のシリアル-イーサネットコンバーターがインターネット上に公開されており、攻撃者が遠隔からアクセス可能な状態になっている。
脆弱性の内訳と影響を受けるデバイス
発見された22件の脆弱性は複数のカテゴリにわたる。最も深刻なのはリモートコード実行(RCE)で9件のCVEが該当し、次いでデバイス乗っ取り(3件)、サービス拒否(DoS)(3件)、認証回避(2件)、設定改ざん(2件)が続く。そのほか、クライアント側コード実行、ファームウェア改ざん、情報開示、任意ファイルアップロードに関する脆弱性も各1件含まれる。
影響を受ける製品は以下の通り:
- Lantronix EDS3000PSシリーズ・EDS5000シリーズ(計8件の脆弱性)
- Silex SD330-AC(14件の脆弱性)
リスクと攻撃シナリオ
シリアル-IPコンバーターは、RS-232/RS-485などのレガシーなシリアル通信インターフェースをイーサネット/IPネットワークに橋渡しする機器で、製造業・電力・医療といった重要インフラで幅広く使われている。これらのデバイスが攻撃されると、攻撃者はシリアル通信の盗聴・遮断、センサー値の改ざん、アクチュエーターの誤動作誘発、さらにはネットワーク内への横断的侵入(ラテラルムーブメント)を実行できる。医療現場においては患者安全に直結する機器への干渉も懸念される。
推奨される対策
Forescoutは以下の対策を推奨している:
- ベンダーが提供するセキュリティアップデートを速やかに適用する
- デフォルトの認証情報を変更し、強固なパスワードポリシーを設ける
- ネットワークセグメンテーションにより、これらのデバイスを重要システムから分離する
- 不要なインターネット公開を排除し、VPNやファイアウォールで保護する
産業用・医療用環境でLantronixまたはSilexのシリアル-IPコンバーターを運用している組織は、デバイスのインターネット露出状況を早急に確認し、パッチ適用とネットワーク設計の見直しを行うことが強く推奨される。