セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-54097】HuaweiのHiViewモジュールに深刻な脆弱性、HarmonyOSとEMUIの複数バージョンがリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• HuaweiのHiViewモジュールに深刻な脆弱性が発見
• HarmonyOSとEMUIの複数バージョンが影響を受ける
• 機能の実装と整合性に影響を与える可能性が指摘

HuaweiのHiViewモジュールに発見された深刻な脆弱性【CVE-2024-54097】

Huawei社は2024年12月12日、同社のHiViewモジュールに影響を与える重大なセキュリティ脆弱性【CVE-2024-54097】を公開した。この脆弱性はCVSS v3.1で7.3の高リスクスコアを記録しており、CWE-15の外部システム設定制御に分類される深刻な問題となっている。^[1]

特にHarmonyOSのバージョン2.0.0から4.2.0まで、およびEMUIのバージョン12.0.0から14.0.0までの広範なバージョンが影響を受けることが判明している。この脆弱性は物理的なアクセスを必要とするものの、認証は不要であり、機能の実装と整合性に影響を与える可能性が指摘されているのだ。

また本脆弱性に関してHuawei社はCISA-ADPによる評価も受けており、SSVCフレームワークによる分析では自動化された攻撃の可能性は低いとされている。しかし技術的な影響は重大であり、早急な対策が推奨されている状況である。

HuaweiのHiViewモジュールの影響を受けるバージョン一覧

Huaweiのセキュリティ情報の詳細はこちら

外部システム設定制御について

外部システム設定制御とは、システムの重要な設定が外部から不正に操作される可能性のある脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• システムの設定が外部から変更される可能性
• 認証なしでの設定変更が可能
• システムの整合性や機能に重大な影響を与える

特にHiViewモジュールの脆弱性は、物理的なアクセスさえあれば認証なしで設定を変更できる危険性が指摘されている。このような脆弱性は設定の整合性を損なう可能性があり、システム全体のセキュリティに深刻な影響を及ぼす可能性があるため、早急な対策が必要とされているのだ。

HiViewモジュールの脆弱性に関する考察

HiViewモジュールの脆弱性は物理アクセスを必要とする点で攻撃の難易度は比較的高いものの、認証が不要である点は深刻な問題として捉える必要がある。特にHarmonyOSとEMUIの広範なバージョンに影響があることから、多くのユーザーが潜在的なリスクにさらされている可能性が高いだろう。

今後は特に企業や組織での使用において、物理的なセキュリティ対策の強化が重要になってくると考えられる。デバイスへの物理的なアクセス制限や監視体制の強化、さらには影響を受けるバージョンを使用している端末の特定と管理が必要になってくるだろう。

また長期的には、Huaweiによるセキュリティアップデートの提供と、ユーザー側での迅速なアップデート適用が重要となる。システム設定の変更履歴の監視機能や、重要な設定変更時の多要素認証の導入なども、将来的な対策として検討に値するのだ。

参考サイト

1. ^ CVE. 「CVE-2024-54097 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-54097, (参照 25-01-16).
2. Huawei. https://consumer.huawei.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧