セキュリティ

SECURITY

公開：2024-12-12

【CVE-2024-47043】Ruijie Reyee OSに深刻な脆弱性、個人情報漏洩のリスクが判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ruijie Reyee OSに脆弱性が発見される
• デバイスのシリアル番号とユーザー情報の漏洩が可能に
• CVSS 3.1で深刻度「High」の7.5を記録

Ruijie Reyee OSバージョン2.206.xから2.320.xの脆弱性

米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年12月6日、Ruijie社のReyee OSに機密情報の安全でない保存に関する脆弱性が存在することを公開した。この脆弱性は【CVE-2024-47043】として識別され、攻撃者がデバイスのシリアル番号とユーザーの電話番号、メールアドレスの一部を関連付けることが可能になる重大な問題となっている。^[1]

CISAの発表によると、この脆弱性はReyee OSのバージョン2.206.xから2.320.x未満の全てのバージョンに影響を及ぼすことが判明した。脆弱性の深刻度を示すCVSSスコアは3.1で7.5、4.0で8.7を記録しており、いずれも「High（高）」レベルに分類される深刻な問題として認識されている。

脆弱性の発見者であるClaroty Team82のTomer GoldschmidtとNoam Mosheは、この脆弱性をCISAに報告した。この脆弱性は機密情報の安全でない保存（CWE-922）に分類され、ネットワークを介して攻撃可能で、特別な権限や利用者の操作を必要としないことから、早急な対応が求められる状況となっている。

Ruijie Reyee OS脆弱性の詳細まとめ

CISAのアドバイザリページはこちら

機密情報の安全でない保存について

機密情報の安全でない保存とは、システム内の重要なデータが適切な保護メカニズムなしで格納されている状態を指す。主な特徴として、以下のような点が挙げられる。

• 暗号化されていない状態でのデータ保存
• アクセス制御が不十分な状態での情報管理
• 第三者による不正アクセスのリスクが高い

Ruijie Reyee OSの事例では、デバイスのシリアル番号とユーザーの個人情報が安全でない方法で保存されていることが問題となった。この種の脆弱性は、攻撃者が正規のユーザーになりすましたり、個人情報を不正に取得したりする可能性があるため、早急な対策が必要となっている。

Ruijie Reyee OSの脆弱性に関する考察

Ruijie Reyee OSの脆弱性対応における最大の課題は、影響を受けるバージョンの範囲が広く、多くのユーザーに影響を及ぼす可能性があることだ。特に機密情報の安全でない保存は、個人情報保護の観点から深刻な問題となっており、企業の信頼性にも大きな影響を与える可能性があるだろう。

今後の対策としては、ファームウェアのアップデートによる脆弱性の修正に加え、データの暗号化やアクセス制御の強化が求められる。特にユーザーの個人情報と機器の識別情報を関連付ける際のセキュリティ対策を見直し、より安全な実装方法を採用することが重要となってくるだろう。

将来的には、IoTデバイスのセキュリティ強化が更に重要になってくると予想される。特にネットワーク機器のファームウェアにおける脆弱性は、システム全体のセキュリティリスクにつながる可能性があるため、開発段階からのセキュリティバイデザインの導入が望まれる。

参考サイト

1. ^ CVE. 「CVE-2024-47043 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47043, (参照 24-12-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧