セキュリティ

SECURITY

公開：2025-03-25

【CVE-2025-21424】QualcommのNPUドライバーに重大な脆弱性、Snapdragon製品群に広範な影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• QualcommのNPUドライバーにUse After Free脆弱性が発見
• Snapdragonの多数のプラットフォームとバージョンが影響を受ける
• CVSSスコア7.8のハイリスク脆弱性として評価

QualcommのNPUドライバーに重大な脆弱性

Qualcomm社は2025年3月3日、同社のNeural Processing Unit (NPU)ドライバーにUse After Free脆弱性が発見されたことを公表した。この脆弱性はCVE-2025-21424として識別され、NPUドライバーAPIの同時呼び出し時にメモリ破損が発生する可能性があることが明らかになっている。^[1]

この脆弱性はSnapdragonプラットフォーム全般に影響を及ぼし、Auto、Compute、Mobile、Wearablesなど広範な製品ラインナップが対象となっている。CVSSv3.1でのスコアは7.8（High）と評価され、ローカルからの攻撃による機密性、整合性、可用性への深刻な影響が懸念されている。

影響を受けるバージョンには、Snapdragon 8 Gen 3を含む最新のモバイルプラットフォームや、FastConnect、QCA系チップセット、さらにはロボティクスプラットフォームなど、200を超える製品が含まれることが判明した。Qualcommは詳細な情報を2025年3月のセキュリティ情報で公開している。

影響を受けるプラットフォームまとめ

Use After Freeについて

Use After Freeとは、既に解放されたメモリ領域へのアクセスを試みる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 解放済みメモリへの不正アクセスによるシステムクラッシュの可能性
• メモリ制御の不備を突いた任意コード実行のリスク
• データの改ざんや情報漏洩につながる恐れ

NPUドライバーにおけるUse After Free脆弱性は、並行処理時のメモリ管理の不備に起因している。Qualcommの製品群では特にAIや機械学習処理を行うNPUの利用時に、メモリの解放タイミングと再利用のタイミングが適切に制御されていないことが、この脆弱性の根本的な原因となっている。

NPUドライバーの脆弱性に関する考察

QualcommのNPUドライバーにおけるUse After Free脆弱性の発見は、モバイルデバイスのセキュリティ対策の重要性を再認識させる契機となっている。特にAI処理の重要性が増す中で、NPUドライバーの脆弱性は単なるパフォーマンスの問題を超えて、ユーザーデータの保護という観点からも深刻な課題を突きつけているのだ。

今後は、NPUドライバーのメモリ管理システムの抜本的な見直しが必要になるだろう。特に並行処理時のメモリアクセス制御の強化や、リソース解放後の参照を防ぐための仕組みの実装が求められる。セキュリティ研究者とチップメーカーの連携により、より強固なドライバー実装への取り組みが加速することが期待される。

また、チップセットの複雑化に伴い、同様の脆弱性が他のハードウェアコンポーネントでも発見される可能性は否定できない。継続的なセキュリティ監査と脆弱性報告の体制強化、さらには業界全体でのセキュリティベストプラクティスの共有が重要になってくるだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-21424, (参照 25-03-25).
7858

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧