竹中エンジニアリング製デジタルビデオレコーダに複数の脆弱性、早急なファームウェアアップデートを推奨

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約
竹中エンジニアリング製デジタルビデオレコーダの脆弱性発見
竹中エンジニアリング製DVRの脆弱性まとめ
OSコマンドインジェクションについて
竹中エンジニアリング製DVRの脆弱性に関する考察
参考サイト

記事の要約

竹中エンジニアリング製DVRに複数の脆弱性
認証やOSコマンドインジェクションの脆弱性を確認
最新ファームウェアへのアップデートを推奨

竹中エンジニアリング製デジタルビデオレコーダの脆弱性発見

竹中エンジニアリング株式会社は2024年9月18日、同社が提供するデジタルビデオレコーダ製品に複数の脆弱性が存在することを公表した。影響を受ける製品には、HDVR-400、HDVR-800、HDVR-1600、AHDシリーズ、NVRシリーズなどが含まれており、各製品の特定バージョン以前に脆弱性が確認されている。^[1]

発見された脆弱性は、不適切な認証（推測可能な認証情報）、OSコマンドインジェクション、ドキュメント化されていないデバッグ機能を有効化される問題の3種類だ。これらの脆弱性のCVSSスコアは全て基本値8.8と高く、攻撃者によって重大な被害をもたらす可能性がある。

竹中エンジニアリングは、これらの脆弱性に対処するため、影響を受ける製品のファームウェアアップデートを提供している。ユーザーは自社のウェブサイトから最新のファームウェアをダウンロードし、適用することで脆弱性を修正できる。また、JPCERT/CCが開発者との調整を行い、脆弱性情報の公開に至った。

竹中エンジニアリング製DVRの脆弱性まとめ

	認証の脆弱性	OSコマンドインジェクション	デバッグ機能の問題
CVE番号	CVE-2024-41929	CVE-2024-43778	CVE-2024-47001
CVSSスコア	8.8	8.8	8.8
影響	認証情報の推測が可能	任意のOSコマンド実行	機器設定の変更
対策	ファームウェアアップデート	ファームウェアアップデート	ファームウェアアップデート

OSコマンドインジェクションについて

OSコマンドインジェクションとは、攻撃者が悪意のあるOSコマンドを実行できる脆弱性のことを指しており、主な特徴として以下のような点が挙げられる。

入力値の不適切な検証によって発生
システムレベルの権限で任意のコマンドを実行可能
データの改ざんや情報漏洩のリスクが高い

竹中エンジニアリング製デジタルビデオレコーダにおけるOSコマンドインジェクションの脆弱性は、CVE-2024-43778として識別されている。この脆弱性が悪用された場合、攻撃者は対象システム上で任意のOSコマンドを実行し、重要なデータにアクセスしたり、システムの設定を変更したりする可能性がある。そのため、早急なファームウェアのアップデートが推奨される。

竹中エンジニアリング製DVRの脆弱性に関する考察

竹中エンジニアリング製デジタルビデオレコーダの脆弱性発見は、セキュリティ対策の重要性を再認識させる出来事だ。特に、認証の脆弱性やOSコマンドインジェクションといった基本的な脆弱性が存在していた点は、製品開発段階でのセキュリティテストの徹底が不可欠であることを示している。今後は、セキュリティ・バイ・デザインの考え方を取り入れ、製品設計の初期段階からセキュリティを考慮することが求められるだろう。

一方で、今回の脆弱性対応では、JVNを通じた迅速な情報公開と対策の提供が行われた点は評価できる。しかし、ファームウェアのアップデートが適切に行われないケースも想定される。特に、セキュリティ意識の低いユーザーや、運用上の制約からアップデートが困難な環境では、脆弱性が長期間放置される可能性がある。このような課題に対しては、自動アップデート機能の実装や、脆弱性の重要度に応じた段階的な対応策の提供など、より柔軟なアプローチが必要となるだろう。

今後、IoTデバイスの普及に伴い、同様の脆弱性がより多くの製品で発見される可能性がある。製造業者には、継続的なセキュリティ監査と脆弱性管理プロセスの確立が求められる。また、ユーザー側も定期的なファームウェアチェックやセキュリティアップデートの適用を習慣化し、自らの環境を守る意識を高めていく必要がある。セキュリティ対策は、製造業者とユーザーの協力なくしては成り立たないのだ。