セキュリティ

SECURITY

公開：2025-04-30

【CVE-2025-20654】MediaTek製品のWLANサービスに重大な脆弱性、複数製品でリモートコード実行のリスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• MediaTekの複数製品にリモートコード実行の脆弱性
• WLAN関連のサービスに境界チェックの問題
• SDK 7.4.0.1以前など特定バージョンが影響対象

MediaTek製品のWLANサービスにおける重大な脆弱性

MediaTek社は2025年4月7日、同社の複数の製品において重大な脆弱性を発見したことを公表した。この脆弱性はWLANサービスにおける境界チェックの不備に起因しており、攻撃者による任意のコード実行を許してしまう可能性があることが明らかになっている。^[1]

この脆弱性は【CVE-2025-20654】として識別されており、CVSSスコアは9.8（Critical）と極めて深刻度が高い評価となっている。影響を受ける製品には、MT6890、MT7622、MT7915、MT7916、MT7981、MT7986が含まれており、特に追加の実行権限なしでリモートからの攻撃が可能であることが大きな懸念事項となっている。

影響を受けるバージョンは、MT7622およびMT7915ではSDK 7.4.0.1以前、MT7916、MT7981、MT7986ではSDK 7.6.7.0以前、MT6890ではOpenWrt 19.07および21.02となっている。CISAによる評価では、この脆弱性は自動化された攻撃が可能であり、技術的な影響も重大であると判断されている。

影響を受けるMediaTek製品とバージョン情報まとめ

MediaTekのセキュリティ情報詳細はこちら

Out-of-bounds Writeについて

Out-of-bounds Writeとは、プログラムが割り当てられたメモリ領域の範囲外にデータを書き込んでしまう脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• バッファオーバーフローの一種で、メモリ破壊につながる危険性
• 任意のコード実行やシステムクラッシュを引き起こす可能性
• 適切な境界チェックの実装により防止可能

今回のMediaTek製品における脆弱性は、WLANサービスの実装における境界チェックの不備に起因するOut-of-bounds Writeの問題として報告されている。攻撃者によって悪用された場合、追加の実行権限なしでリモートからのコード実行が可能となり、システムの完全な制御権限が奪取される危険性がある。

MediaTek製品の脆弱性に関する考察

MediaTek製品における今回の脆弱性は、WLANサービスという基本的な通信機能に関わる部分で発見されたことが特に重要である。影響を受ける製品群にはネットワーク機器やIoTデバイスなど幅広い機器が含まれており、攻撃者による悪用の可能性が現実的な脅威となっている。ユーザー側の操作なしで攻撃が可能な点も、この脆弱性の深刻さを増大させる要因となっている。

今後はファームウェアアップデートの配信体制の強化や、開発段階でのセキュリティテストの徹底が求められるだろう。特にIoT機器のセキュリティアップデートは、エンドユーザーへの適用が難しいケースも多いため、製造元による迅速なパッチ提供と、導入支援の体制構築が重要となってくる。

また、この種の脆弱性は開発プロセスの初期段階で発見されることが望ましく、静的解析ツールの活用やセキュリティレビューの強化が必要となる。MediaTekには今回の事例を教訓として、より堅牢なセキュリティ開発プロセスの確立が期待される。

参考サイト

1. ^ CVE. 「CVE Record: CVE-2025-20654」. https://www.cve.org/CVERecord?id=CVE-2025-20654, (参照 25-04-30).
1290

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧