【CVE-2024-7992】AutoCADにDWGファイルの重大な脆弱性、スタックベースバッファオーバーフローによる任意コード実行のリスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

AutoCADにおけるDWGファイルの脆弱性を発見
スタックベースのバッファオーバーフローが発生する可能性
悪意のある攻撃者によるコード実行のリスクが存在

AutoCAD DWGファイルのスタックベースバッファオーバーフロー脆弱性

Autodeskは2025年版のAutoCADおよびAutoCAD関連製品において、悪意のあるDWGファイルを介してスタックベースのバッファオーバーフローを引き起こす脆弱性【CVE-2024-7992】を公開した。この脆弱性は、CWE-121に分類されるスタックオーバーフローの問題であり、攻撃者によって悪用された場合にシステムクラッシュや機密データの読み取り、任意のコード実行などの深刻な影響をもたらす可能性がある。^[1]

この脆弱性のCVSSスコアは7.8（High）と評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低く、特権は不要だが利用者の関与が必要とされている。影響範囲はシステムの機密性、完全性、可用性のすべてにおいて高いレベルでの被害が想定されるため、早急な対応が求められる。

AutodeskはセキュリティアドバイザリADSK-SA-2024-0021を通じて、この脆弱性に関する詳細情報と対策方法を提供している。SSVCの評価によると、現時点で自動化された攻撃は確認されていないものの、技術的な影響は全体に及ぶとされており、システム管理者は速やかにセキュリティパッチの適用を検討する必要がある。

AutoCAD DWGファイル脆弱性の詳細情報

項目	詳細
CVE番号	CVE-2024-7992
脆弱性の種類	スタックベースのバッファオーバーフロー（CWE-121）
影響を受ける製品	AutoCAD 2025および関連製品
CVSSスコア	7.8（High）
攻撃条件	ローカル実行、低い複雑さ、特権不要、ユーザー操作必要
想定される影響	システムクラッシュ、データ漏洩、任意のコード実行

セキュリティアドバイザリの詳細はこちら

スタックベースバッファオーバーフローについて

スタックベースバッファオーバーフローとは、プログラムのスタック領域に割り当てられたバッファのサイズを超えてデータを書き込むことで発生する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

メモリ破壊によるプログラムの異常終了
機密データの読み取りや改ざんのリスク
任意のコード実行による権限昇格の可能性

AutoCADの事例では、悪意のあるDWGファイルを介してスタックベースバッファオーバーフローが引き起こされ、システムのセキュリティが脅かされる可能性がある。攻撃者は特別に細工されたDWGファイルを使用することで、ユーザーの権限でコードを実行したり、重要なデータにアクセスしたりする可能性があるため、製品の更新やセキュリティパッチの適用が重要である。

AutoCAD DWGファイルの脆弱性に関する考察

AutoCADの脆弱性対策として、ユーザー側でのDWGファイルの検証プロセスの導入が重要性を増している。信頼できない送信元からのDWGファイルを開く際には、サンドボックス環境での実行や、セキュリティスキャンの実施など、多層的な防御策を講じる必要があるだろう。また、組織全体でのセキュリティ意識の向上と、定期的なトレーニングの実施も有効な対策となる。

今後はAIを活用した異常検知システムの導入や、ゼロトラストセキュリティの考え方に基づいたアクセス制御の実装が求められる。特にクラウドベースのCADシステムが普及する中、ファイル共有時のセキュリティ強化や、リアルタイムの脆弱性スキャン機能の実装が重要な課題となっている。設計データの重要性を考慮すると、より強固なセキュリティ対策の構築が不可欠だ。

将来的には、ブロックチェーン技術を活用したファイルの改ざん検知や、量子暗号技術による通信の暗号化など、より高度なセキュリティ技術の導入も検討する必要がある。AutoCADの開発者には、新しいセキュリティ技術の採用と、既存の脆弱性対策の継続的な改善が期待される。