セキュリティ

SECURITY

公開：2025-03-25

【CVE-2025-1945】picklescan 0.0.23未満にZIPフラグビット脆弱性、PyTorchモデルの安全性に警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• picklescan 0.0.23未満にZIPフラグビット改変の脆弱性
• PyTorchモデルアーカイブ内の悪意のあるファイルが検出されない
• 任意のコード実行の危険性が判明

picklescan 0.0.23未満のZIPフラグビット脆弱性が発覚

Sonatype社は2025年3月10日、picklescanのバージョン0.0.23未満において、ZIPファイルのフラグビットを改変することで悪意のあるpickleファイルが検出されない脆弱性を公開した。この脆弱性は【CVE-2025-1945】として識別されており、攻撃者がZIPファイルヘッダーの特定のビットを操作することで、PyTorchのtorch.load()関数でモデルが正常に読み込まれる一方、picklescanによる検出を回避できる深刻な問題となっている。^[1]

本脆弱性は、データの真正性の検証が不十分であることに起因するものであり、CWE-345として分類されている。CVSSスコアは5.3（MEDIUM）と評価されており、ネットワークを介した攻撃が可能で、攻撃条件の複雑さは低いとされているが、ユーザーの操作が必要となる特徴がある。

脆弱性の発見者はSonatype社のTrevor Madge氏であり、修正パッチがGitHubリポジトリで公開されている。影響を受けるバージョンは0.0.1から0.0.23未満のすべてのバージョンであり、早急なアップデートが推奨される状況となっている。

picklescan脆弱性の詳細情報

データ真正性の検証について

データ真正性の検証とは、データの信頼性と完全性を確保するための重要なセキュリティ対策であり、以下のような特徴がある。

• データの改ざんや不正な変更を検出する仕組み
• デジタル署名やハッシュ値による検証機能
• 認証済みソースからのデータ受信の確認

picklescanの脆弱性では、ZIPファイルのフラグビット改変によってデータ真正性の検証メカニズムが回避される問題が発生している。この問題は、PyTorchのモデルファイルが正常に読み込まれる一方で、悪意のあるコードの検出が失敗する可能性があり、セキュリティツールの信頼性に関する重要な課題を提起している。

picklescanの脆弱性に関する考察

picklescanの脆弱性は、機械学習モデルのセキュリティにおける重要な課題を浮き彫りにしている。特にPyTorchのような広く使用されているフレームワークでのモデル読み込み時の検証メカニズムと、セキュリティツールの検出機能の間にギャップが存在することが明らかとなったことは、今後のAIセキュリティ対策において重要な示唆を与えている。

今後は、ZIPファイルフォーマットの仕様に関するより詳細な検証やモデルファイルの整合性チェックの強化が必要となるだろう。特にAIモデルの配布と共有が一般化する中で、モデルファイルの改ざん検知やセキュリティチェックの仕組みをより堅牢にすることが求められる。

機械学習モデルのセキュリティ対策は、従来のソフトウェアセキュリティとは異なる新しい課題を提示している。今後はデータの真正性検証に加えて、モデルファイル自体の完全性を保証する仕組みや、安全なモデル共有プラットフォームの整備が重要になってくるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-1945, (参照 25-03-25).
1658

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧