セキュリティ

SECURITY

公開：2025-04-30

【CVE-2025-20664】MediaTekのWLAN APドライバーに情報漏洩の脆弱性、複数製品のSDKに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MediaTekのWLAN APドライバーに情報漏洩の脆弱性
• MT7915など複数製品のSDKに影響
• リモートからの攻撃で情報漏洩の可能性

MediaTekのWLAN APドライバーに未捕捉例外による情報漏洩の脆弱性

MediaTek社は2025年4月7日、同社のWLAN APドライバーに情報漏洩につながる脆弱性（CVE-2025-20664）を発見したことを公表した。この脆弱性は未捕捉例外に起因するもので、MT7915、MT7916、MT7981、MT7986、MT7990、MT7992の各製品のSDKに影響を及ぼすことが判明している。^[1]

この脆弱性は攻撃者が追加の実行権限なしにリモートから情報漏洩を引き起こす可能性があり、CVSSスコアは7.5（High）と評価されている。特に注目すべき点として、攻撃の実行にユーザーの操作を必要としないことから、自動化された攻撃のリスクが高まっているのだ。

影響を受けるバージョンはMT7915のSDK release 7.4.0.1、MT7916およびMT798XのSDK release 7.6.7.2、そしてMT799XのSDK release 8.2.1.4以前のバージョンとなっている。MediaTek社はパッチID：WCNCR00406217として修正プログラムを提供し、ユーザーに対して早急なアップデートを推奨している。

影響を受けるMediaTek製品とバージョン情報まとめ

未捕捉例外について

未捕捉例外とは、プログラム実行中に発生した例外処理が適切に処理されずにシステムに影響を与える状態のことを指す。主な特徴として、以下のような点が挙げられる。

• プログラムの実行が予期せず中断される可能性がある
• メモリ上の機密情報が意図せず露出するリスクがある
• システムの安定性や信頼性に重大な影響を及ぼす

今回のMediaTekの事例では、WLAN APドライバーにおける未捕捉例外により情報漏洩の脆弱性が発生している。CVSSスコア7.5という高い深刻度が示すように、この種の脆弱性は早急な対応が必要であり、特に認証なしでリモートから攻撃可能な点が重要な懸念事項となっている。

MediaTekのWLAN APドライバーの脆弱性に関する考察

MediaTekのWLAN APドライバーにおける未捕捉例外の脆弱性は、IoTデバイスやモバイル機器のセキュリティにおける重要な課題を浮き彫りにしている。特に注目すべき点は、ユーザー介入なしで攻撃が可能という特徴で、これは自動化された攻撃ツールによる大規模な攻撃の可能性を示唆しているのだ。

今後の課題として、ファームウェアアップデートの配布と適用の効率化が挙げられる。多くのIoTデバイスは一度導入されると更新が困難になりがちだが、自動アップデート機能の実装や、セキュリティパッチの迅速な展開システムの確立が望まれるだろう。

長期的には、開発段階からのセキュリティバイデザインの採用が重要となる。特にドライバーレベルでの例外処理の徹底的な実装や、定期的なセキュリティ監査の実施により、同様の脆弱性の発生を未然に防ぐ取り組みが必要になってくるだろう。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-20664」. https://www.cve.org/CVERecord?id=CVE-2025-20664, (参照 25-04-30).
1250

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧