【CVE-2024-42033】HuaweiのEMUIとHarmonyOSに重大な脆弱性、情報取得と改ざんのリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

HuaweiのEMUIとHarmonyOSに脆弱性
情報取得や改ざんのリスクが存在
ベンダーからパッチ情報が公開

HuaweiのEMUIとHarmonyOSにおける脆弱性の発見

Huaweiは、同社のモバイルOS「EMUI」およびIoTOS「HarmonyOS」に不特定の脆弱性が存在することを明らかにした。この脆弱性は、CVSS v3による深刻度基本値が7.1（重要）と評価されており、攻撃者によって情報の取得や改ざんが行われる可能性がある。影響を受けるバージョンは、EMUI 12.0.0から14.0.0、HarmonyOS 2.0.0から4.2.0までの広範囲に及んでいる。^[1]

この脆弱性の特徴として、攻撃元区分がローカルであり、攻撃条件の複雑さが低いという点が挙げられる。さらに、攻撃に必要な特権レベルは低く、利用者の関与は不要とされている。影響の想定範囲に変更はないものの、機密性と完全性への影響が高いと評価されており、ユーザーデータの保護という観点から見過ごすことのできない問題だ。

Huaweiは本脆弱性に対処するため、ベンダーアドバイザリおよびパッチ情報を公開している。ユーザーには、参考情報を確認の上、適切な対策を実施することが強く推奨される。CWEによる脆弱性タイプとしては、ビジネスロジックエラー（CWE-840）および情報不足（CWE-noinfo）に分類されており、CVE-2024-42033として識別されている点にも注意が必要だ。

HuaweiのEMUIとHarmonyOS脆弱性の影響範囲

OS	影響を受けるバージョン
EMUI	12.0.0, 13.0.0, 14.0.0
HarmonyOS	2.0.0, 3.0.0, 3.1.0, 4.0.0, 4.2.0
攻撃元区分	ローカル
攻撃条件の複雑さ	低
攻撃に必要な特権レベル	低
利用者の関与	不要

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として以下のような点が挙げられる。

0.0から10.0までの数値で脆弱性の深刻度を表現
攻撃の難易度や影響範囲など複数の要素を考慮
ベンダーや組織間で統一された評価基準を提供

本脆弱性のCVSS v3による深刻度基本値は7.1（重要）と評価されている。これは、攻撃の難易度が比較的低く、かつ情報の機密性と完全性への影響が高いことを示している。CVSSスコアが7.1という数値は、早急な対応が必要な重大な脆弱性であることを意味しており、影響を受ける可能性のあるユーザーは速やかにセキュリティパッチの適用を検討すべきだ。

HuaweiのEMUIとHarmonyOS脆弱性に関する考察

HuaweiのEMUIとHarmonyOSに存在する脆弱性は、モバイルデバイスのセキュリティに対する新たな課題を提示している。特に、攻撃条件の複雑さが低く、利用者の関与が不要という点は、潜在的な攻撃者にとって非常に魅力的な標的となり得る。一方で、Huaweiが迅速にパッチ情報を公開したことは評価できるが、広範囲のバージョンに影響が及ぶため、すべてのユーザーに適切な対策が行き渡るまでには時間がかかる可能性がある。

今後の課題として、IoTデバイスの普及に伴い、HarmonyOSのようなIoT向けOSのセキュリティがより重要になってくることが予想される。特に、デバイス間の相互接続が進む中、一つの脆弱性が広範囲に影響を及ぼす可能性があるため、OSレベルでのセキュリティ強化が急務となるだろう。この問題に対する解決策として、AIを活用した異常検知システムの導入や、デバイス間の通信の暗号化強化などが考えられる。

Huaweiには、今回の脆弱性の詳細な分析結果を公開し、他のOSベンダーとも情報を共有することで、業界全体のセキュリティ向上に貢献することが期待される。また、ユーザー側でも、定期的なソフトウェアアップデートの重要性を再認識し、セキュリティ意識を高めていく必要がある。今後は、OSの開発段階からセキュリティを重視したアプローチが標準となり、脆弱性の発生リスクを最小限に抑える取り組みがより一層進むことを期待したい。