【CVE-2024-5760】サムスンのuniversal print driverに重大な脆弱性、情報漏洩やDoSのリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

サムスンのuniversal print driverに脆弱性
CVE-2024-5760として識別される重要な脆弱性
情報取得、改ざん、DoS状態のリスクあり

サムスンのuniversal print driverに重要な脆弱性が発見

サムスン社は、同社のuniversal print driver 3.00.16.0101に不特定の脆弱性が存在することを公表した。この脆弱性はCVE-2024-5760として識別され、CVSS v3による深刻度基本値は7.8（重要）と評価されている。攻撃元区分がローカルで、攻撃条件の複雑さは低いとされており、攻撃に必要な特権レベルは低く、利用者の関与は不要とされている。^[1]

この脆弱性により、悪意のある攻撃者が情報を取得したり、情報を改ざんしたり、さらにはサービス運用妨害（DoS）状態を引き起こす可能性がある。影響の想定範囲に変更はないものの、機密性、完全性、可用性のすべてに高い影響があると評価されている。サムスン社は、この脆弱性に対する適切な対策を実施するよう、ユーザーに呼びかけている。

National Vulnerability Database（NVD）やHP社の関連文書（support.hp.com）で、この脆弱性に関する詳細情報が公開されている。CWEによる脆弱性タイプは情報不足（CWE-noinfo）とされているが、これは現時点で詳細な分類ができていないことを示唆している。ユーザーは、最新の情報を確認し、必要な対策を講じることが推奨される。

CVE-2024-5760の脆弱性詳細

項目	詳細
影響を受ける製品	サムスン universal print driver 3.00.16.0101
CVSS v3 深刻度基本値	7.8（重要）
攻撃元区分	ローカル
攻撃条件の複雑さ	低
攻撃に必要な特権レベル	低
利用者の関与	不要
想定される影響	情報取得、情報改ざん、DoS状態

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として以下のような点が挙げられる。

0.0から10.0までのスコアで脆弱性の深刻度を表現
攻撃の難易度や影響度を複数の要素で評価
ベンダーや組織間で統一された評価基準を提供

CVSSは基本評価基準、現状評価基準、環境評価基準の3つの指標で構成されており、本脆弱性の評価では基本評価基準が使用されている。基本評価基準は攻撃元区分、攻撃条件の複雑さ、必要な特権レベルなどの要素を考慮し、脆弱性の本質的な特性を評価する。CVSSスコアが7.8と高いことから、この脆弱性の深刻度が「重要」と判断されている。

サムスンのuniversal print driver脆弱性に関する考察

サムスンのuniversal print driverに発見された脆弱性は、その深刻度の高さから早急な対応が求められる。CVSSスコアが7.8と高く、攻撃条件の複雑さが低いことから、攻撃者にとって比較的容易に悪用できる可能性がある。また、攻撃に必要な特権レベルが低く、利用者の関与が不要という点も、この脆弱性の危険性を高めている要因だろう。

今後、この脆弱性を悪用したサイバー攻撃が増加する可能性がある。特に、企業や組織のプリンターシステムを標的とした情報漏洩やシステム破壊などのリスクが懸念される。対策としては、サムスンが提供するセキュリティパッチの適用が最も効果的だが、それまでの間は、影響を受けるシステムのネットワーク隔離や、アクセス制限の強化などの暫定措置を講じることが重要だ。

この事例は、プリンタードライバーのようなシステムの基盤部分にも重大な脆弱性が存在し得ることを示している。今後、ハードウェアメーカーはソフトウェアコンポーネントのセキュリティ強化にさらに注力する必要がある。同時に、ユーザー側も定期的なセキュリティアップデートの確認と適用を怠らないことが、システム全体の安全性を維持する上で極めて重要となるだろう。