セキュリティ

SECURITY

公開：2025-02-26

【CVE-2025-1001】RadiAnt DICOM Viewerに証明書検証の脆弱性、医療画像診断への影響に懸念

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• RadiAnt DICOM Viewerに証明書検証の脆弱性を発見
• 更新メカニズムにおける中間者攻撃のリスクが判明
• CVSS 3.1でミディアムレベルの深刻度と評価

RadiAnt DICOM Viewer 2024.02の証明書検証の脆弱性

Medixant社のRadiAnt DICOM Viewerにおいて、更新メカニズムの証明書検証に関する脆弱性が2025年2月21日に公開された。この脆弱性は米Claroty社のTeam82に所属するSharon Brizinov氏によって発見され、更新サーバーの証明書を検証できない問題が指摘されている。^[1]

この脆弱性により、攻撃者が中間者攻撃を実行し、更新サーバーからの応答を改ざんして悪意のあるアップデートをユーザーに配信する可能性があることが明らかになった。脆弱性の深刻度はCVSS 3.1で5.7のミディアムレベルと評価されており、早急な対応が求められている。

脆弱性はCVE-2025-1001として識別され、CWE-295（不適切な証明書検証）に分類されている。また、CVSS 4.0でも同様に5.7のミディアムレベルと評価されており、情報の完全性への影響が高いと判断されている。

RadiAnt DICOM Viewerの脆弱性詳細

証明書検証について

証明書検証とは、デジタル証明書の正当性を確認するプロセスであり、安全な通信を確保するための重要な要素である。主な特徴として、以下のような点が挙げられる。

• 発行元の認証局の信頼性確認
• 証明書の有効期限の検証
• 証明書の失効状態の確認

RadiAnt DICOM Viewerの脆弱性は、この証明書検証プロセスが適切に実装されていないことに起因している。更新サーバーとの通信における証明書検証の欠如は、攻撃者による中間者攻撃を可能にし、不正なソフトウェアアップデートの配信というセキュリティリスクをもたらすのだ。

RadiAnt DICOM Viewerの証明書検証脆弱性に関する考察

医療画像ビューワーソフトウェアにおける証明書検証の脆弱性は、患者データの完全性と医療機関のセキュリティに重大な影響を及ぼす可能性がある。特に医療分野では、改ざんされたソフトウェアが診断の誤りや患者情報の漏洩につながる危険性があるため、更新メカニズムの安全性確保は極めて重要だ。

今後は証明書検証の強化に加えて、更新プロセス全体のセキュリティ監査やコード署名の導入が必要となるだろう。医療機器のセキュリティ基準は年々厳格化しており、ソフトウェアベンダーには継続的なセキュリティ対策の見直しと改善が求められている。

また、医療機関側でもソフトウェア更新時の検証プロセスの確立や、信頼できるネットワーク環境での更新実施など、運用面での対策が重要となる。医療システムのデジタル化が進む中、セキュリティと利便性のバランスを保ちながら、安全な医療環境を維持することが課題となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1001, (参照 25-02-26).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧