セキュリティ

SECURITY

公開：2024-10-13

クアルコム製品に重大な脆弱性、fastconnectシリーズなど多数のファームウェアに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• クアルコム製品に解放済みメモリ使用の脆弱性
• 複数のファームウェアが影響を受ける
• CVSS基本値7.8の重要な脆弱性

クアルコム製品の脆弱性がファームウェアに影響

クアルコムは、複数の製品ファームウェアに解放済みメモリの使用に関する脆弱性が存在することを公開した。この脆弱性は、fastconnect 6700、6800、6900シリーズなどのファームウェアに影響を与えており、CVSS v3による深刻度基本値は7.8（重要）と評価されている。攻撃元区分はローカルで、攻撃条件の複雑さは低いとされているのだ。^[1]

影響を受けるシステムには、QAM8295P、QCA6174A、QCA6391、QCA6426、QCA6436、QCA6574AU、QCA6584AU、QCA6595、QCA6595AU、qca6688aq、QCA6696、qca6698aq、QCS410、QCS610、QCS6490、video collaboration vc1などの各ファームウェアが含まれている。この脆弱性により、攻撃者は情報の取得や改ざん、さらにサービス運用妨害（DoS）状態を引き起こす可能性があるのだ。

クアルコムは、この脆弱性に対処するためのベンダアドバイザリやパッチ情報を公開しており、ユーザーに適切な対策の実施を呼びかけている。CWEによる脆弱性タイプは「解放済みメモリの使用(CWE-416)」と分類されており、共通脆弱性識別子（CVE）はCVE-2024-43047として登録されている。ユーザーは早急に対策を講じる必要があるだろう。

クアルコム製品の脆弱性影響まとめ

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性の深刻度を表現
• 攻撃の容易さや影響度などの複数の要素を考慮
• 共通の基準で異なる脆弱性を比較可能

本件のクアルコム製品の脆弱性では、CVSS v3による基本値が7.8と評価されている。これは「重要」レベルの脆弱性を示しており、攻撃元区分がローカルで攻撃条件の複雑さが低いことから、比較的容易に攻撃が可能であることを示唆している。ユーザーは速やかにベンダーの提供する対策を適用することが強く推奨される。

クアルコム製品の脆弱性に関する考察

クアルコム製品における解放済みメモリの使用に関する脆弱性の発見は、IoTデバイスやスマートフォンなど広範な製品に影響を与える可能性がある点で重要だ。特に、fastconnectシリーズやQCAシリーズなど多数のファームウェアに影響が及ぶことから、製品の安全性と信頼性に対する懸念が高まるだろう。一方で、クアルコムが迅速に脆弱性情報を公開し、対策を提供していることは評価できる点である。

今後の課題として、ファームウェアの更新プロセスの簡素化と自動化が挙げられる。エンドユーザーが容易にセキュリティアップデートを適用できる仕組みの構築が重要だ。また、脆弱性の早期発見と報告のためのバグバウンティプログラムの拡充や、サードパーティ製品への影響を最小限に抑えるための情報共有の強化も検討すべきだろう。

クアルコムには、今回の教訓を活かしてセキュリティ開発ライフサイクルの更なる強化が期待される。具体的には、静的解析ツールの改善やセキュアコーディング教育の徹底、そしてサプライチェーン全体でのセキュリティ意識の向上が求められるだろう。また、業界全体としては、チップセットレベルでのセキュリティ機能の標準化や、脆弱性情報の共有プラットフォームの整備が今後の重要な課題となるはずだ。

参考サイト

1. ^ . 「JVNDB-2024-010101 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010101.html, (参照 24-10-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧