【CVE-2024-35118】IBMのAndroid用Maas360 MDMに認証情報の脆弱性、情報漏洩のリスクに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
IBMのAndroid用Maas360 MDMにおける認証情報の脆弱性
IBMのMaas360 MDM脆弱性の詳細
ハードコードされた認証情報について
IBMのMaas360 MDM脆弱性に関する考察
参考サイト

記事の要約

IBMのAndroid用Maas360 MDMに脆弱性
ハードコードされた認証情報の使用が問題
情報取得の可能性があり、対策が必要

IBMのAndroid用Maas360 MDMにおける認証情報の脆弱性

IBMは、同社のAndroid用モバイルデバイス管理（MDM）ソリューションであるMaas360 MDMにおいて、ハードコードされた認証情報の使用に関する脆弱性が存在することを公表した。この脆弱性は、CVE-2024-35118として識別されており、CVSS v3による深刻度基本値は4.6（警告）と評価されている。影響を受けるバージョンは、Maas360 MDM 6.31から8.60までの範囲に及んでいる。^[1]

この脆弱性の特徴として、攻撃元区分が物理的であり、攻撃条件の複雑さが低いことが挙げられる。また、攻撃に必要な特権レベルは不要であり、利用者の関与も必要ないとされている。影響の想定範囲に変更はないものの、機密性への影響が高いと評価されており、情報が取得される可能性があることが懸念されている。

IBMは、この脆弱性に対する正式な対策を公開しており、ユーザーに対してベンダー情報を参照し、適切な対策を実施するよう呼びかけている。具体的な対策情報はIBM Support DocumentやIBM X-Force Exchangeで提供されており、管理者はこれらの情報を基に必要な措置を講じることが求められている。

IBMのMaas360 MDM脆弱性の詳細

項目	詳細
影響を受けるバージョン	Maas360 MDM 6.31 から 8.60
CVSS v3 基本値	4.6 (警告)
攻撃元区分	物理
攻撃条件の複雑さ	低
攻撃に必要な特権レベル	不要
利用者の関与	不要
機密性への影響	高
完全性への影響	なし
可用性への影響	なし

ハードコードされた認証情報について

ハードコードされた認証情報とは、ソフトウェアのソースコード内に直接記述された認証情報のことを指しており、主な特徴として以下のような点が挙げられる。

ソースコード内に固定的に埋め込まれた認証情報
変更や管理が困難で、セキュリティリスクが高い
リバースエンジニアリングによって容易に発見される可能性がある

IBMのMaas360 MDMの事例では、このハードコードされた認証情報の存在が脆弱性として報告されている。この種の脆弱性は、攻撃者がソフトウェアの認証メカニズムをバイパスし、不正アクセスを行う可能性を高める。特にモバイルデバイス管理ソリューションにおいては、企業の機密情報や個人データが危険にさらされる恐れがあり、早急な対策が求められている。

IBMのMaas360 MDM脆弱性に関する考察

IBMのMaas360 MDMにおけるハードコードされた認証情報の脆弱性は、モバイルセキュリティ管理の重要性を再認識させる事例となった。特に企業のBYOD（Bring Your Own Device）ポリシーが一般化する中、MDMソリューションの堅牢性は極めて重要になっている。今回の脆弱性は、攻撃条件の複雑さが低く、特権レベルも不要であることから、潜在的な攻撃者にとって魅力的なターゲットになり得るため、早急な対応が必要だろう。

今後、同様の脆弱性を防ぐためには、開発プロセスにおけるセキュリティレビューの強化が不可欠となるだろう。特に認証情報の扱いについては、ハードコーディングを避け、環境変数や暗号化されたコンフィグファイルを使用するなど、より安全な方法を採用する必要がある。また、定期的な脆弱性スキャンやペネトレーションテストの実施も、潜在的な問題を早期に発見する上で有効な手段となる。

IBMには、この事態を教訓とし、より強固なセキュリティ設計を採用することが期待される。例えば、多要素認証や動的な認証トークンの導入、定期的な認証情報のローテーションなど、より高度な認証メカニズムの実装が望まれる。また、ユーザー企業側も、MDMソリューションの選定や運用において、セキュリティ機能の評価をより重視し、定期的なアップデートやパッチ適用を確実に行う体制を整えることが重要になるだろう。