セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-54099】HarmonyOSとEMUIにファイル改ざんの脆弱性、複数バージョンのユーザーに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• HarmonyOSとEMUIに深刻なファイル改ざんの脆弱性
• HarmonyOS 3.0.0から4.2.0の複数バージョンが影響を受ける
• CVE-2024-54099として識別され機密性への影響が懸念

HarmonyOSとEMUIにおけるファイル改ざんの脆弱性

Huawei Technologiesは2024年12月12日、同社のモバイルOSであるHarmonyOSとEMUIに深刻なファイル改ざんの脆弱性が存在することを公開した。この脆弱性は【CVE-2024-54099】として識別されており、HarmonyOS 3.0.0から4.2.0までの複数バージョンとEMUI 13.0.0から14.0.0が影響を受けることが判明している。^[1]

CVSSスコアは6.7（MEDIUM）を記録しており、攻撃者がローカルアクセス権限を持つ状況で攻撃を実行した場合、システムの整合性と機密性に影響を与える可能性が指摘されている。脆弱性の種類はCWE-16に分類され、設定に関する問題であることが特定された。

SSVCの評価によると、この脆弱性の自動的な悪用は現時点では確認されていないものの、技術的な影響は部分的に存在することが判明した。Huaweiは影響を受けるバージョンのユーザーに対して、早急なアップデートの適用を推奨している。

HarmonyOSとEMUIの脆弱性影響範囲まとめ

Huaweiのセキュリティ情報の詳細はこちら

CWE-16の設定に関する脆弱性について

CWE-16とは、ソフトウェアの設定に関する脆弱性の分類を指しており、主な特徴として以下のような点が挙げられる。

• 設定の不備や誤設定によってセキュリティ上の問題が発生
• デフォルト設定の不適切な状態が攻撃の要因となる
• 設定変更による権限昇格やアクセス制御の回避が可能

HarmonyOSとEMUIの脆弱性では、CWE-16の特徴であるシステム設定の不備が攻撃者によって悪用される可能性が指摘されている。攻撃者がローカルアクセス権限を持つ状況下で、システムファイルの改ざんやデータの漏洩といった深刻な被害をもたらす可能性があるため、早急な対策が求められる。

HarmonyOSとEMUIの脆弱性に関する考察

HarmonyOSとEMUIの両方に同様の脆弱性が存在することは、プラットフォーム全体のセキュリティ設計を見直す必要性を示唆している。特にファイル改ざんの脆弱性は、マルウェアの感染や重要データの改ざんにつながる可能性があるため、ユーザーデータの保護という観点から早急な対応が必要になるだろう。

今後の課題として、設定に関する脆弱性の検出と修正をより効率的に行うためのセキュリティフレームワークの強化が挙げられる。特にモバイルOSの場合、ユーザーの個人情報や決済情報など機密性の高いデータを扱うため、システムの整合性を保つためのより強固なセキュリティ対策の実装が求められるはずだ。

将来的には、AIを活用した異常検知システムの導入やゼロトラストセキュリティの考え方に基づいたアクセス制御の実装が有効な対策になると考えられる。HuaweiにはOS開発において、設計段階からセキュリティを考慮したシフトレフトアプローチの採用を期待したい。

参考サイト

1. ^ CVE. 「CVE-2024-54099 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-54099, (参照 25-01-16).
2. Huawei. https://consumer.huawei.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧