セキュリティ

SECURITY

公開：2024-10-23

【CVE-2024-43537】Windows 10/11のモバイルブロードバンドドライバにDoS脆弱性、セキュリティ更新プログラムで対策実施へ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Windows 10/11にDoS脆弱性が発見
• Windows モバイルブロードバンドドライバに不備
• セキュリティ更新プログラムで対策を実施

Windows OSのモバイルブロードバンドドライバにDoS脆弱性

マイクロソフトは2024年10月8日、Windows 10およびWindows 11のモバイルブロードバンドドライバにサービス運用妨害の脆弱性が存在することを発表した。この脆弱性は【CVE-2024-43537】として特定されており、CWEによる脆弱性タイプは境界外読み取り（CWE-125）および初期化されていないリソースの使用（CWE-908）に分類されている。^[1]

NVDの評価によると、攻撃元区分は隣接であり、攻撃条件の複雑さは低いとされている。攻撃に必要な特権レベルは不要だが、利用者の関与が不要とされており、影響の想定範囲に変更がないことが示されているのだ。

Windows Server 2019およびWindows Server 2022も影響を受けるとされており、マイクロソフトはセキュリティ更新プログラムを通じて正式な対策を提供している。この脆弱性のCVSS v3による深刻度基本値は6.5（警告）と評価されており、早急な対応が推奨されるだろう。

脆弱性の影響を受けるバージョンまとめ

サービス運用妨害について

サービス運用妨害とは、システムやネットワークのリソースを意図的に枯渇させ、正常なサービス提供を妨げる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムの可用性を低下させる攻撃手法
• 正常なユーザーのサービス利用を妨害
• 大量のリクエストやトラフィックを発生させる

今回の脆弱性では、Windows モバイルブロードバンドドライバの不備を突くことでDoS状態を引き起こすことが可能となっている。CVSSスコアは6.5と警告レベルであり、機密性や完全性への影響はないものの、可用性への影響が高いと評価されているため、早急な対策が必要だ。

Windows モバイルブロードバンドドライバの脆弱性に関する考察

モバイルブロードバンドドライバの脆弱性は、リモートワークやモバイルワークが一般化している現代において重大な影響を及ぼす可能性がある。特にWindows 10およびWindows 11の広範なバージョンに影響があることから、企業や組織のITインフラに対する潜在的な脅威となることが懸念されるだろう。

この脆弱性に対する攻撃条件の複雑さが低く、特権レベルも不要という点は、攻撃の容易さを示唆している。マイクロソフトがセキュリティ更新プログラムを提供しているものの、アップデートの適用が遅れている組織では、サービス運用妨害攻撃のリスクが継続することになるだろう。

今後はモバイルブロードバンドドライバの設計段階からセキュリティを考慮した実装が求められる。特に初期化されていないリソースの使用という基本的な脆弱性が含まれていた点は、開発プロセスの見直しも必要となるはずだ。

参考サイト

1. ^ JVN. 「JVNDB-2024-010762 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010762.html, (参照 24-10-23).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧