HuaweiのEMUIとHarmonyOSにパストラバーサルの脆弱性、緊急対応が必要な事態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
HuaweiのEMUIとHarmonyOSにおけるパストラバーサルの脆弱性
HuaweiのEMUIとHarmonyOS脆弱性の影響範囲
パストラバーサルについて
HuaweiのEMUIとHarmonyOSの脆弱性に関する考察
参考サイト

記事の要約

HuaweiのEMUIとHarmonyOSに脆弱性
パストラバーサルの問題が発見される
影響度は9.1（緊急）と評価される

HuaweiのEMUIとHarmonyOSにおけるパストラバーサルの脆弱性

Huaweiは同社のスマートフォンOS「EMUI」および「HarmonyOS」においてパストラバーサルの脆弱性が存在することを公表した。この脆弱性はCVSS v3による基本値が9.1（緊急）と評価されており、攻撃者によって悪用された場合、情報漏洩やサービス運用妨害（DoS）状態を引き起こす可能性がある。影響を受けるバージョンは複数存在し、ユーザーに対して早急な対策が求められている。^[1]

この脆弱性（CVE-2024-45443）の特徴として、攻撃元区分がネットワークであり、攻撃条件の複雑さが低いことが挙げられる。また、攻撃に必要な特権レベルは不要で、利用者の関与も必要としない。影響の想定範囲に変更はないものの、機密性への影響が高く、可用性への影響も高いと評価されている。完全性への影響はないとされているが、全体的な深刻度は非常に高い。

Huaweiは影響を受ける製品のユーザーに対し、ベンダアドバイザリまたはパッチ情報を公開している。ユーザーは参考情報を確認し、適切な対策を実施することが推奨される。この脆弱性は共通脆弱性識別子（CVE）としてCVE-2024-45443が割り当てられており、CWEによる脆弱性タイプはパス・トラバーサル（CWE-22）に分類されている。

HuaweiのEMUIとHarmonyOS脆弱性の影響範囲

OS	影響を受けるバージョン
EMUI	12.0.0、13.0.0、14.0.0
HarmonyOS	2.0.0、2.1.0、3.0.0、3.1.0、4.0.0、4.2.0
CVSS基本値	9.1（緊急）
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低

パストラバーサルについて

パストラバーサルとは、Webアプリケーションやシステムの脆弱性の一種で、攻撃者が意図しないディレクトリやファイルにアクセスできてしまう問題を指す。主な特徴として、以下のような点が挙げられる。

ファイルパスの操作による不正アクセス
機密情報の漏洩リスクが高い
システム全体のセキュリティを脅かす可能性

HuaweiのEMUIとHarmonyOSで発見されたこの脆弱性は、パストラバーサルの典型的な例といえる。攻撃者がこの脆弱性を悪用すると、本来アクセスできないはずのシステムファイルや機密データにアクセスできてしまう可能性がある。そのため、影響を受けるデバイスのユーザーは、Huaweiが提供する修正パッチを速やかに適用することが強く推奨される。

HuaweiのEMUIとHarmonyOSの脆弱性に関する考察

HuaweiのEMUIとHarmonyOSにおけるパストラバーサルの脆弱性の発見は、モバイルOSのセキュリティ強化の重要性を再認識させる出来事だった。特に、攻撃条件の複雑さが低く、特別な権限も必要としないという点は、潜在的な攻撃者にとって非常に魅力的なターゲットとなり得る。今後、同様の脆弱性が他のモバイルOSでも発見される可能性があり、業界全体でのセキュリティ対策の強化が求められるだろう。

この問題に対する解決策として、Huaweiはすでにパッチを公開しているが、ユーザーの迅速な更新適用が鍵となる。また、開発段階でのセキュリティテストの強化や、定期的な脆弱性診断の実施など、予防的アプローチの重要性も高まっている。今後、AIを活用した自動脆弱性検出システムの導入や、オープンソースコミュニティとの連携強化など、より効果的なセキュリティ対策の構築が期待される。

長期的には、モバイルOSのセキュリティアーキテクチャの根本的な見直しが必要になる可能性もある。特に、重要なシステムファイルへのアクセス制御や、アプリケーションの権限管理システムの改善が求められる。Huaweiには、この事態を教訓として、より強固なセキュリティ体制の構築と、透明性の高い脆弱性情報の開示プロセスの確立を期待したい。