IoT

アイオーティー

公開：2025-03-14

【CVE-2024-56897】YI Car Dashcam v3.88に重大な脆弱性、不正アクセスによる設定改ざんのリスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• YI Car Dashcam v3.88にHTTPサーバーの深刻な脆弱性
• 不正なファイルのダウンロードやアップロードが可能に
• デバイス設定の無断変更やリセットの危険性

YI Car Dashcam v3.88の重大な脆弱性が発覚

YI Car Dashcam v3.88のHTTPサーバーに不適切なアクセス制御の脆弱性が発見され、2025年2月24日にCVE-2024-56897として公開された。この脆弱性により、不正なファイルのダウンロードやアップロードが可能となり、APIコマンドを介して録画の無効化やサウンドの無効化、工場出荷時リセットなどの設定変更が無断で実行される可能性が指摘されている。^[1]

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、この脆弱性の深刻度をCVSS v3.1で9.8（クリティカル）と評価している。この評価は、ネットワークからのアクセスが可能で、攻撃の複雑性が低く、特権が不要であることに加え、ユーザーの操作も不要という特徴に基づいている。

この脆弱性は、CWE-434（危険なタイプのファイルの無制限アップロード）に分類されており、システムの機密性、整合性、可用性のすべてに高いリスクをもたらす可能性がある。SSVCの評価によると、この脆弱性の技術的影響は部分的であり、自動化された攻撃の可能性も指摘されている。

YI Car Dashcam v3.88の脆弱性詳細

不適切なアクセス制御について

不適切なアクセス制御とは、システムやアプリケーションにおいて、ユーザーの権限や認証が適切に実装されていない状態を指す。以下のような特徴がある。

• 認証されていないユーザーが制限された機能にアクセス可能
• 権限チェックが不十分または欠如している
• セッション管理が不適切

YI Car Dashcam v3.88の事例では、HTTPサーバーの不適切なアクセス制御により、認証されていないユーザーがファイルの操作やデバイス設定の変更を実行できる状態となっている。この脆弱性は特別な権限や複雑な攻撃手法を必要としないため、攻撃の容易性が高く、早急な対策が必要とされている。

YI Car Dashcamの脆弱性に関する考察

YI Car Dashcam v3.88の脆弱性は、車両のセキュリティに直接影響を与える深刻な問題として捉える必要がある。ダッシュカムは事故や盗難の証拠として重要な役割を果たすため、録画機能の無効化や設定の改ざんは重大なセキュリティリスクをもたらす可能性が高い。製造元には早急なセキュリティパッチの提供と、今後の製品開発におけるセキュリティ設計の見直しが求められるだろう。

IoTデバイスのセキュリティ対策には、認証機能の強化や暗号化通信の導入、ファームウェアの定期的なアップデートなど、複数のアプローチが考えられる。特にダッシュカムのような重要な記録装置では、物理的なセキュリティと組み合わせた多層的な防御策の実装が望ましい。今後は自動車関連のIoTデバイス全般において、セキュリティ基準の策定と遵守が重要な課題となるだろう。

将来的には、自動車メーカーとIoTデバイスメーカーの連携による統合的なセキュリティ対策の実現が期待される。車載システムとの安全な連携や、クラウドベースのセキュリティ監視など、より包括的なアプローチによってユーザーの安全とプライバシーを確保する必要がある。自動運転技術の発展に伴い、車載デバイスのセキュリティはますます重要性を増すと考えられる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-56897, (参照 25-03-14).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「IoT」に関するコラム一覧「IoT」に関するニュース一覧