セキュリティ

SECURITY

公開：2025-03-22

【CVE-2025-1944】picklescan 0.0.23未満のZIPアーカイブ操作脆弱性が発覚、PyTorchモデルの不正検知回避の可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• picklescan 0.0.23未満にZIPアーカイブ操作による脆弱性
• 改変されたZIPヘッダーによりBadZipFileエラーが発生
• PyTorchモデルの読み込みで不正なペイロードが検出回避可能

picklescan 0.0.23未満のZIPアーカイブ操作脆弱性

Sonatype社は2025年3月10日、picklescanのバージョン0.0.23未満に存在するZIPアーカイブ操作の脆弱性【CVE-2025-1944】を公開した。この脆弱性は、ZIPヘッダーのファイル名を改変しながらディレクトリリスティングの元のファイル名を保持することで、picklescanがBadZipFileエラーを発生させる問題が確認されている。^[1]

本脆弱性の深刻度はCVSS v4.0で5.3（MEDIUM）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。また、特権は不要だが利用者の関与が必要とされており、機密性への影響はないものの完全性と可用性への影響が限定的と判断されている。

この脆弱性は特にPyTorchモデルアーカイブの抽出とスキャン時に問題となる。PyTorchの実装ではZIPの解析がより寛容であるため、picklescanでエラーが発生しても悪意のあるペイロードを含むモデルが読み込まれる可能性があるため、注意が必要だ。

picklescan脆弱性の詳細まとめ

ZIPアーカイブ操作について

ZIPアーカイブ操作とは、データの圧縮や解凍を行うための一連の処理のことを指す。主な特徴として、以下のような点が挙げられる。

• ファイルの圧縮と解凍を効率的に行うための標準的な形式
• ヘッダー情報とディレクトリ構造を持つ階層的なアーカイブ形式
• ファイル名やメタデータを含む複数のデータブロックで構成

picklescanの脆弱性は、ZIPアーカイブのヘッダー情報とディレクトリリスティングの不一致を悪用するものだ。PyTorchの実装ではこの不一致を許容してしまうため、picklescanによる検出を回避しながら不正なモデルを読み込むことが可能となっている。

picklescanの脆弱性に関する考察

picklescanの脆弱性は、セキュリティツールとファイル形式の実装の違いを巧みに突いた事例として注目に値する。特にPyTorchのような広く使用されているフレームワークとの実装の差異が攻撃の糸口となっている点は、セキュリティツールの開発において重要な教訓となるだろう。

今後はAIモデルの配布や共有が更に活発化することが予想され、同様の脆弱性が発見される可能性も高まっている。セキュリティツールの開発者は、対象となるフレームワークやライブラリの実装についても深い理解を持ち、実装の差異が攻撃ベクトルとなることを考慮した設計が求められるだろう。

また、オープンソースコミュニティにおいては、セキュリティツールとフレームワーク間での実装の整合性確保や、標準的なセキュリティチェック手法の確立が求められる。特にAIモデルのセキュリティ検証においては、より包括的なアプローチが必要となるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1944, (参照 25-03-22).
1696

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧