セキュリティ

SECURITY

公開：2024-10-18

クアルコム製品に認証関連の脆弱性、Snapdragonシリーズにも影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• クアルコム製品に認証関連の脆弱性
• CVE-2024-38425として識別される問題
• 情報取得・改ざんのリスクあり

クアルコム製品の認証関連脆弱性が発見

クアルコムは複数の製品において、不正な認証に関する脆弱性が存在することを2024年10月7日に公開した。この脆弱性はCVE-2024-38425として識別されており、WSA8835やWSA8830、WCD9380などのファームウェア、さらにSnapdragonシリーズの多数のモバイルプラットフォームに影響を与える可能性がある。CVSS v3による深刻度基本値は6.1（警告）と評価されている。^[1]

この脆弱性の影響を受ける製品には、Snapdragon 4 gen 1からSnapdragon 8 gen 3までの幅広いモバイルプラットフォームが含まれている。攻撃元区分はローカルであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは低く、利用者の関与は不要とされており、機密性への影響が高いことが特徴的だ。

この脆弱性により、攻撃者が情報を不正に取得したり、情報を改ざんしたりする可能性がある。クアルコムはこの問題に対処するためのアドバイザリやパッチ情報を公開しており、影響を受ける製品のユーザーは、参考情報を確認し適切な対策を実施することが推奨されている。脆弱性のタイプはCWE-285（不適切な認可）およびCWE-863（不正な認証）に分類されている。

クアルコム製品の脆弱性影響範囲まとめ

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性の深刻度を表現
• 攻撃の容易さや影響範囲など多角的な評価基準を使用
• ベースメトリクス、時間的メトリクス、環境的メトリクスの3つの指標で構成

本件のクアルコム製品の脆弱性では、CVSS v3による深刻度基本値が6.1と評価されている。これは「警告」レベルに相当し、攻撃元区分がローカル、攻撃条件の複雑さが低いなどの特徴を持つ。CVSSスコアは組織がセキュリティリスクを評価し、適切な対策を講じる上で重要な指標となっている。

クアルコム製品の認証脆弱性に関する考察

クアルコム製品における認証関連の脆弱性の発見は、モバイルデバイスのセキュリティに対する重要な警鐘となっている。特にSnapdragonシリーズの幅広いプラットフォームに影響が及ぶ点は、多くのスマートフォンやタブレットユーザーに潜在的なリスクをもたらす可能性がある。この脆弱性が適切に対処されない場合、個人情報の漏洩や不正アクセスなど、深刻な問題につながる恐れがあるだろう。

今後、この脆弱性を悪用した攻撃手法が洗練されていく可能性も考えられる。そのため、デバイスメーカーや通信事業者は、クアルコムと緊密に連携してファームウェアアップデートの迅速な展開を行う必要がある。同時に、エンドユーザーに対しても、デバイスのアップデートの重要性を啓発し、セキュリティ意識を高める取り組みが求められるだろう。

長期的には、クアルコムを含むチップメーカーは、設計段階からセキュリティを重視したアプローチを強化する必要がある。ハードウェアレベルでの認証メカニズムの改善や、AIを活用した異常検知システムの導入など、より堅牢なセキュリティ対策の実装が期待される。また、業界全体で脆弱性情報の共有と迅速な対応を可能にする体制の構築も、今後のモバイルセキュリティ強化に向けた重要な課題となるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-010479 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010479.html, (参照 24-10-18).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧