セキュリティ

SECURITY

公開：2025-01-16

【CVE-2024-56442】HuaweiのHarmonyOSとEMUIにNFC脆弱性、複数バージョンで機能異常のリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• HuaweiのNFCサービスモジュールに脆弱性を発見
• HarmonyOSとEMUIの複数バージョンが影響を受ける
• 機能の異常動作を引き起こす可能性がある脆弱性

HuaweiのOSに影響を与えるNFC脆弱性が発見

Huawei社は2025年1月8日、同社のHarmonyOSとEMUIに搭載されているNFCサービスモジュールにおいて、ネイティブAPIが正しく実装されていない脆弱性【CVE-2024-56442】を公開した。この脆弱性は米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によってCVSS v3.1で深刻度が5.5（Medium）と評価されており、特定の条件下で機能の異常動作を引き起こす可能性があることが判明している。^[1]

影響を受けるバージョンは、HarmonyOSでは2.0.0から3.1.0までの主要なバージョンが対象となっており、EMUIについては12.0.0と13.0.0が影響を受けることが確認されている。この脆弱性は攻撃者が特権レベルを必要とせず、ユーザーインターフェースの操作なしに悪用できる可能性があり、システムのセキュリティに潜在的なリスクをもたらすものだ。

CWEによる分類では「API Abuse」（CWE-227）に分類されており、NFCサービスモジュールのネイティブAPI実装における不備が原因とされている。攻撃の複雑さは低く評価されており、ローカルからのアクセスによって影響を及ぼす可能性があるため、影響を受けるバージョンのユーザーは速やかなアップデートが推奨されるだろう。

HuaweiのNFC脆弱性の詳細

脆弱性の詳細はこちら

NFCサービスモジュールについて

NFCサービスモジュールとは、Near Field Communication（近距離無線通信）を制御するためのソフトウェアコンポーネントであり、デバイス間の近距離データ通信を実現する重要な機能を提供している。主な特徴として、以下のような点が挙げられる。

• 非接触での短距離データ通信を実現するための制御機能
• セキュアな通信プロトコルによるデータの保護機能
• モバイル決済やデバイス間のデータ転送などの基盤となる機能

HuaweiのNFCサービスモジュールは、HarmonyOSとEMUIの両プラットフォームで使用されており、モバイル決済やデバイス間の通信に重要な役割を果たしている。今回発見された脆弱性は、このモジュールのネイティブAPI実装における不備が原因であり、通信機能の正常な動作に影響を与える可能性があることが判明している。

HuaweiのNFC脆弱性に関する考察

今回の脆弱性はCVSS評価で中程度の深刻度とされているが、NFCサービスの基幹部分に関わる問題であり、モバイル決済などの重要な機能に影響を与える可能性がある点で注目に値する。特にHarmonyOSとEMUIの複数バージョンに影響があることから、多くのユーザーが潜在的なリスクにさらされている可能性があるだろう。

今後の課題として、NFCサービスモジュールのセキュリティ強化が挙げられ、特にネイティブAPIの実装における品質管理の徹底が必要となる。Huaweiには継続的なセキュリティアップデートの提供と、より堅牢なAPI実装のためのガイドラインの整備が求められるだろう。

この脆弱性の発見を契機に、モバイルOSのセキュリティ対策における新たな視点が必要となる。特にNFCのような基幹的な通信機能については、実装段階からのセキュリティレビューの強化と、定期的な脆弱性診断の実施が重要になってくるはずだ。

参考サイト

1. ^ CVE. 「CVE-2024-56442 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-56442, (参照 25-01-16).
2. Huawei. https://consumer.huawei.com/jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧