セキュリティ

SECURITY

公開：2024-11-07

【CVE-2024-9997】AutoCAD 2025.1でメモリ破損の脆弱性が発見、任意のコード実行のリスクに警戒

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AutoCAD DWGファイルに深刻な脆弱性が発見
• メモリ破損によって任意のコード実行が可能に
• CVSSスコア7.8の高リスク脆弱性として判定

Autodesk AutoCAD 2025.1のメモリ破損の脆弱性

Autodeskは2024年10月29日、AutoCAD 2025.1のDWGファイル解析処理においてメモリ破損の脆弱性を発見したことを公開した。悪意のある攻撃者が細工を施したDWGファイルを用意することで、acdb25.dllを介してメモリ破損を引き起こし、システムをクラッシュさせたり機密データを書き込んだり任意のコードを実行したりすることが可能になっている。^[1]

この脆弱性は【CVE-2024-9997】として識別されており、CWEによる脆弱性タイプはバッファオーバーフロー（CWE-120）に分類されている。CVSSv3.1によるスコアは7.8と高リスクに分類され、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは不要だが、利用者の関与が必要とされている。

Autodeskはこの脆弱性に対して、Windows向けAutoCADプラットフォームのバージョン2025.1で修正を実施している。SSVCの評価によると現時点での自動化された攻撃は確認されていないが、技術的な影響は深刻であるため、ユーザーには速やかなアップデートが推奨されている。

AutoCAD 2025.1の脆弱性詳細

セキュリティアドバイザリの詳細はこちら

メモリ破損について

メモリ破損とは、プログラムが意図しない形でメモリ領域にアクセスまたは変更を行うことで発生する脆弱性の一種である。主な特徴として、以下のような点が挙げられる。

• プログラムの実行フローを変更可能
• 機密データの漏洩リスクが存在
• システムクラッシュを引き起こす可能性

AutoCADで発見されたメモリ破損の脆弱性は、DWGファイルの解析処理においてacdb25.dllがメモリ領域を適切に管理できていないことに起因している。この種の脆弱性は攻撃者によって悪用された場合、任意のコード実行やシステムクラッシュ、データ漏洩などの重大な被害をもたらす可能性が高い。

AutoCAD 2025.1の脆弱性に関する考察

AutoCADのような広く使用されているCADソフトウェアにおける脆弱性の発見は、設計・製造業界に大きな影響を与える可能性がある。特にDWGファイルは業界標準のフォーマットとして広く普及しているため、この脆弱性を悪用した攻撃が発生した場合、企業の機密情報や知的財産が危険にさらされる可能性が高い。

今後は同様の脆弱性を防ぐため、ファイル解析処理におけるメモリ管理の強化が求められる。特にバッファオーバーフローに対する予防的な対策として、入力値の厳密な検証やメモリ境界チェックの実装が重要になってくるだろう。また、ファイル形式の仕様自体にもセキュリティの観点からの見直しが必要かもしれない。

AutoCADユーザーに対しては、信頼できない出所のDWGファイルを開く際の注意喚起が必要不可欠だ。同時にセキュリティ更新プログラムの適用を自動化する仕組みの導入や、セキュリティトレーニングの実施など、組織全体でのセキュリティ意識の向上が望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-9997, (参照 24-11-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧