【CVE-2024-32758】ジョンソンコントロールズのexacqVision製品に暗号強度の脆弱性、情報漏洩のリスクに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ジョンソンコントロールズのexacqVision製品に脆弱性
暗号強度に関する問題が発見される
CVE-2024-32758として識別された脆弱性

ジョンソンコントロールズのexacqVision製品における暗号強度の脆弱性

ジョンソンコントロールズは、同社のexacqVision ClientおよびexacqVision Serverに暗号強度に関する脆弱性が存在することを2024年8月1日に公開した。この脆弱性はCVE-2024-32758として識別され、CVSS v3による深刻度基本値は7.5（重要）と評価されている。影響を受けるバージョンはexacqVision Client 24.06未満およびexacqVision Server 24.06未満だ。^[1]

この脆弱性の特徴として、攻撃元区分がネットワークであり、攻撃条件の複雑さが低いことが挙げられる。また、攻撃に必要な特権レベルは不要で、利用者の関与も不要とされている。影響の想定範囲に変更はないものの、機密性への影響が高いと評価されており、情報が取得される可能性がある。

ジョンソンコントロールズは対策としてベンダアドバイザリまたはパッチ情報を公開している。ユーザーは参考情報を参照し、適切な対策を実施することが推奨される。CWEによる脆弱性タイプは「不適切な暗号強度（CWE-326）」に分類されており、暗号化の重要性が改めて浮き彫りになった形だ。

exacqVision製品の脆弱性まとめ

	詳細
影響を受ける製品	exacqVision Client 24.06未満、exacqVision Server 24.06未満
脆弱性の種類	暗号強度に関する脆弱性
CVE番号	CVE-2024-32758
CVSS v3スコア	7.5（重要）
想定される影響	情報の取得

CVSS v3について

CVSS v3とは、Common Vulnerability Scoring Systemの略称で、情報セキュリティ上の脆弱性の深刻度を評価するための業界標準指標のことを指す。主な特徴として以下のような点が挙げられる。

0.0から10.0の数値で脆弱性の深刻度を表現
攻撃の容易さや影響範囲などを考慮して評価
バージョン3では環境や時間の経過による影響の変化も考慮

CVSS v3では、攻撃元区分、攻撃条件の複雑さ、必要な特権レベル、利用者の関与、影響の想定範囲、機密性・完全性・可用性への影響など、多角的な要素を考慮してスコアが算出される。exacqVision製品の脆弱性では、これらの要素を総合的に評価した結果、7.5という「重要」レベルのスコアが付与されたのだ。

exacqVision製品の脆弱性に関する考察

exacqVision製品の暗号強度に関する脆弱性は、ネットワークセキュリティの重要性を再認識させる事例だ。特に、攻撃条件の複雑さが低く、特権や利用者の関与が不要という点は、潜在的な攻撃者にとって魅力的なターゲットとなり得る。この脆弱性が悪用された場合、監視システムの信頼性が大きく損なわれる可能性があるだろう。

今後、同様の脆弱性を防ぐためには、開発段階からセキュリティバイデザインの考え方を徹底することが重要だ。暗号化アルゴリズムの選択や実装方法、鍵管理などに細心の注意を払い、定期的なセキュリティ監査を実施することで、脆弱性のリスクを最小限に抑えることができる。また、脆弱性が発見された際の迅速な対応と透明性の高い情報公開も、ユーザーの信頼を維持する上で欠かせないだろう。

exacqVision製品のユーザーは、この事例を機にセキュリティ対策の見直しを行うべきだ。パッチの適用はもちろん、ネットワークの分離やアクセス制御の強化など、多層的な防御策を講じることが望ましい。さらに、監視カメラシステム全体のセキュリティ評価を行い、潜在的なリスクを洗い出すことで、より強固なセキュリティ体制を構築できるだろう。