セキュリティ

SECURITY

公開：2025-03-11

【CVE-2025-1067】ArcGIS Pro 3.3/3.4に深刻な脆弱性、悪意のあるコード実行の危険性が明らかに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ArcGIS Pro 3.3と3.4にコード実行の脆弱性が発見
• ローカルファイルシステムを介した悪意のあるコード実行が可能
• ArcGIS Pro 3.3.3と3.4.1でパッチ適用済み

ArcGIS Pro 3.3/3.4の信頼されていない検索パスの脆弱性

Environmental Systems Research Institute社は2025年2月25日、同社のGISソフトウェアArcGIS Pro 3.3および3.4において、信頼されていない検索パスの脆弱性【CVE-2025-1067】を発見したことを公開した。この脆弱性により、ローカルファイルシステムへの書き込み権限を持つ攻撃者が悪意のある実行ファイルを導入できる可能性があることが判明している。^[1]

脆弱性の重要度はCVSS v3.1で7.3（High）と評価されており、攻撃者がローカルファイルシステムに悪意のあるコードを配置することで、被害者が特定の操作を行った際に不正なコマンドが実行される可能性がある。この問題はArcGIS Pro 3.3.3および3.4.1で修正され、セキュリティパッチが提供されている。

影響を受けるバージョンは、Windows 64ビット版のArcGIS Pro 3.3.0から3.3.2および3.4.0となっている。Environmental Systems Research Institute社は、該当するバージョンを使用しているユーザーに対して、最新バージョンへのアップデートを推奨している。

ArcGIS Pro脆弱性の影響範囲まとめ

信頼されていない検索パスの脆弱性について

信頼されていない検索パスの脆弱性とは、アプリケーションがファイルやライブラリを検索する際に、攻撃者が制御可能なパスを含めてしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムが必要なファイルを検索する際の経路を悪用
• 攻撃者が悪意のあるファイルを配置可能
• 正規のプログラム実行時に不正なコードが実行される

今回のArcGIS Proの脆弱性では、CWE-732（重要なリソースに対する不適切な権限割り当て）に分類される問題が確認されている。攻撃者がローカルファイルシステムへの書き込み権限を持っている場合、特定の操作をトリガーとして悪意のあるコードを実行させることが可能となる。

ArcGIS Pro脆弱性に関する考察

本脆弱性の修正により、ArcGIS Proのセキュリティが強化されることは評価できるポイントだ。しかしながら、GISソフトウェアの特性上、多くのユーザーが管理者権限で実行する場合が多く、権限昇格を伴う攻撃のリスクが依然として存在している。組織内でのアクセス権限の適切な管理と定期的なセキュリティ監査の実施が望まれる。

今後の課題として、ファイルシステムへのアクセス制御の強化やサンドボックス環境の実装が挙げられる。特にGISソフトウェアは地理空間データの処理に特化しているため、データの完全性と可用性を保ちながらセキュリティを向上させる必要がある。ベンダー側には、セキュリティ機能の強化とともに、ユーザーへの適切な情報提供と教育支援の継続が期待される。

将来的には、ゼロトラストセキュリティの考え方に基づいた認証システムの導入や、AIを活用した異常検知機能の実装が有効な対策となるだろう。また、クラウドベースのGISサービスとの連携における新たなセキュリティ課題にも注目が必要である。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1067, (参照 25-03-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧