セキュリティ

SECURITY

公開：2024-10-09

【CVE-2024-7675】Autodesk Navisworksに重大な脆弱性、解放済みメモリ使用の危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Autodesk NavisworksにCVE-2024-7675の脆弱性
• 解放済みメモリの使用に関する重要な脆弱性
• 影響範囲はNavisworks 2025から2025.2まで

Autodesk Navisworksの重大な脆弱性が発見

オートデスク株式会社は、Autodesk Navisworksに解放済みメモリの使用に関する重要な脆弱性（CVE-2024-7675）が存在することを公表した。この脆弱性はCVSS v3による基本値が7.8（重要）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。影響を受けるバージョンはAutodesk Navisworks 2025から2025.2までだ。^[1]

この脆弱性を悪用されると、情報の取得や改ざん、さらにはサービス運用妨害（DoS）状態に陥る可能性がある。攻撃に必要な特権レベルは不要とされているが、利用者の関与が必要とされている点に注意が必要だ。影響の想定範囲に変更はないものの、機密性、完全性、可用性のいずれにも高い影響があるとされている。

オートデスク株式会社は、この脆弱性に対するベンダアドバイザリまたはパッチ情報を公開している。ユーザーは参考情報を確認し、適切な対策を実施することが強く推奨される。CWEによる脆弱性タイプは「解放済みメモリの使用（CWE-416）」と分類されており、NVDおよびその他の評価でも同様の判断がなされている。

Autodesk Navisworks脆弱性の詳細

解放済みメモリの使用について

解放済みメモリの使用（Use After Free）とは、プログラムがメモリを解放した後にそのメモリ領域を参照または使用してしまう脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• メモリ管理の不備により発生する脆弱性
• プログラムのクラッシュや予期せぬ動作を引き起こす可能性
• 攻撃者によって悪用されると、任意のコード実行につながる恐れ

Autodesk Navisworksで発見されたこの脆弱性は、解放済みメモリの使用に関するものであり、CVSS v3で7.8という高い深刻度が付与されている。この種の脆弱性は、適切なメモリ管理と入力値の検証によって防ぐことが可能だ。ユーザーは提供されるパッチを適用し、ソフトウェアを最新の状態に保つことが重要である。

Autodesk Navisworksの脆弱性に関する考察

Autodesk Navisworksの脆弱性が公開されたことで、建設業界や製造業界など、このソフトウェアを利用している組織に大きな影響を与える可能性がある。特に、攻撃条件の複雑さが低く、特権レベルが不要という点は、潜在的な攻撃者にとって非常に魅力的な要素となり得る。一方で、ローカルでの攻撃が必要という制限は、リモートからの大規模な攻撃の可能性を低減させる要因となっているだろう。

今後、この脆弱性を悪用したマルウェアの出現や、標的型攻撃への利用が懸念される。特に、Navisworksが扱う建築データや製造情報は機密性が高く、産業スパイ活動の標的となる可能性も否定できない。対策として、ユーザー企業はパッチ適用の迅速化はもちろん、ネットワークセグメンテーションの強化や、重要データへのアクセス制御の見直しなど、多層的な防御策を講じる必要があるだろう。

長期的には、Autodesk社がメモリ管理に関するセキュリティ強化を進めることが期待される。例えば、安全性の高いプログラミング言語への移行や、静的解析ツールの導入強化などが考えられる。また、業界全体としても、CADソフトウェアのセキュリティ基準の策定や、脆弱性情報の共有体制の整備など、協調的なアプローチが求められるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-009934 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-009934.html, (参照 24-10-09).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧