B
今週中
YarboのAndroid/iOSアプリおよびクラウドインフラに、ハードコードされたMQTTブローカー認証情報の使用という深刻な脆弱性
📌 一言でいうと
YarboのAndroid/iOSアプリおよびクラウドインフラに、ハードコードされたMQTTブローカー認証情報の使用という深刻な脆弱性が発見されました。攻撃者はアプリのバイナリを解析することでこれらの認証情報を取得し、テレメトリデータへのアクセスやロボット群への操作コマンド送信が可能です。影響範囲は全世界で展開されている全バージョンに及びます。
🔍該当判定
- Yarbo社製のロボット(除雪機・芝刈機等)を導入している
- スマートフォンに「Yarbo」の操作アプリをインストールしている
- Yarbo社のクラウドサービスを利用してロボットを遠隔操作している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
ベンダーから提供される最新のアップデートを適用し、ハードコードされた認証情報が修正されたバージョンへの更新を確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Yarbo Android/iOSアプリおよびクラウドインフラ CVE-2026-10557 対応について
お疲れさまです。Yarbo製品の脆弱性に関する情報共有です。
■ 概要
Yarboのモバイルアプリおよびクラウドインフラにおいて、ハードコードされたMQTT認証情報が利用されていることが判明しました(CVSS 9.8)。攻撃者がアプリを解析して認証情報を取得した場合、ロボットのテレメトリデータの閲覧や、遠隔からの操作コマンド送信が行われるリスクがあります。
■ 影響範囲
- Yarbo Android/iOS モバイルアプリケーション (全バージョン)
- Cloud MQTT インフラストラクチャ (全バージョン)
■ 対応手順
1. 自社環境でYarbo製品を利用しているか確認してください。
2. 利用している場合は、ベンダーが提供する最新の修正パッチまたはアップデートを適用してください。
■ 参考情報
- CISA ICS Advisory ICSA-26-162-01
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Yarbo製品の脆弱性に関する情報共有です。
■ 概要
Yarboのモバイルアプリおよびクラウドインフラにおいて、ハードコードされたMQTT認証情報が利用されていることが判明しました(CVSS 9.8)。攻撃者がアプリを解析して認証情報を取得した場合、ロボットのテレメトリデータの閲覧や、遠隔からの操作コマンド送信が行われるリスクがあります。
■ 影響範囲
- Yarbo Android/iOS モバイルアプリケーション (全バージョン)
- Cloud MQTT インフラストラクチャ (全バージョン)
■ 対応手順
1. 自社環境でYarbo製品を利用しているか確認してください。
2. 利用している場合は、ベンダーが提供する最新の修正パッチまたはアップデートを適用してください。
■ 参考情報
- CISA ICS Advisory ICSA-26-162-01
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Yarbo Android/iOS App and Cloud Infrastructure CVE-2026-10557
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Yarbo products.
■ Overview
Hard-coded MQTT broker credentials have been identified in the Yarbo mobile applications and cloud infrastructure (CVSS 9.8). An attacker could extract these credentials via APK decompilation to access telemetry data and potentially send operational commands to the robot fleet.
■ Affected Scope
- Yarbo Android/iOS mobile applications (All versions)
- Cloud MQTT infrastructure (All versions)
■ Action Plan
1. Identify if Yarbo products are deployed within your environment.
2. If present, apply the latest security updates provided by the vendor immediately.
■ Reference
- CISA ICS Advisory ICSA-26-162-01
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in Yarbo products.
■ Overview
Hard-coded MQTT broker credentials have been identified in the Yarbo mobile applications and cloud infrastructure (CVSS 9.8). An attacker could extract these credentials via APK decompilation to access telemetry data and potentially send operational commands to the robot fleet.
■ Affected Scope
- Yarbo Android/iOS mobile applications (All versions)
- Cloud MQTT infrastructure (All versions)
■ Action Plan
1. Identify if Yarbo products are deployed within your environment.
2. If present, apply the latest security updates provided by the vendor immediately.
■ Reference
- CISA ICS Advisory ICSA-26-162-01
Priority: High
Deadline: Immediate