Eclypsium社の研究者Paul Asadoorian、Mickey Shkatov、Jesse Michaelが、Lenovo 510 FHDおよびLenovo Performance FHDウェブカムに脆弱性を発見した。
この脆弱性は「BadCam」とコードネームが付けられ、2025年8月9日にDEF CON 33セキュリティカンファレンスで発表された。攻撃者はこの脆弱性を悪用してLinux搭載ウェブカムをBadUSBデバイスに変換し、リモートでキーストロークを注入することが可能である。
対象デバイスはファームウェア検証を行わないため、USB Gadgetサポートを備えたLinuxシステム上でBadUSBスタイル攻撃に対して脆弱である。Lenovoは2025年4月の責任ある開示を受けて、ファームウェアアップデートバージョン4.8.0をリリースし、中国企業SigmaStarと協力して対策ツールを提供した。
武器化されたウェブカムは外観と基本機能を維持しながら、悪意のあるペイロード配信や持続的な侵害を可能にする。
From: 
Linux-Based Lenovo Webcams’ Flaw Can Be Remotely Exploited for BadUSB Attacks
【編集部解説】
この度発見されたBadCam脆弱性は、USB周辺機器のセキュリティリスクを根本的に見直す必要があることを示唆する重要な警鐘と言えるでしょう。
まず技術的な側面から整理すると、今回問題となったのはLenovo 510 FHDとPerformance FHDウェブカメラが搭載するLinuxベースのファームウェアです。これらの機器はファームウェアの検証機能を欠いており、攻撃者が任意のコードをデバイスに書き込むことを可能にしています。特に注目すべきは、Linux USB Gadget機能の存在です。この機能により、ウェブカメラはキーボードやマウスといった他のUSBデバイスとして振る舞うことができるため、BadUSB攻撃の理想的な土台となってしまいます。
従来のマルウェアとBadUSBの決定的な違いは、その隠蔽性と持続性にあります。一般的なマルウェアがファイルシステム上に存在しアンチウイルスソフトで検出可能であるのに対し、BadUSBはファームウェア層に潜伏します。これにより、OSを完全に再インストールしても感染が継続する可能性があり、企業の情報システムにとって極めて深刻な脅威となります。
今回の発見で最も革新的な点は、既に信頼済みのデバイスをリモートで武器化できるという概念の実証です。これまでのBadUSB攻撃は物理的なデバイス交換や事前の仕込みが必要でしたが、BadCamでは既に接続されているウェブカメラを遠隔操作で悪用することができます。企業環境において、従業員が日常的に使用するウェブカメラが突然攻撃の起点となる可能性は、従来のセキュリティモデルでは想定されていない脅威です。
影響範囲の広がりも懸念材料です。Eclypsium社の研究によると、同様の脆弱性は他のLinux搭載USB機器にも存在する可能性が指摘されています。ウェブカメラ以外にも、スマートフォン、IoTデバイス、産業用機器など、Linux USB Gadget機能を持つあらゆるデバイスが潜在的な攻撃ベクターとなり得るのです。
企業にとってのリスクは多層的です。攻撃者がキーストロークを注入できることで、重要な資格情報の窃取、不正な金融取引の実行、機密文書へのアクセスなどが可能になります。また、ネットワーク通信のリダイレクトにより、企業の機密データが外部に流出するリスクも存在します。
一方で、この発見はセキュリティ業界にとってポジティブな側面もあります。Lenovoは責任ある開示プロセスを経て迅速にファームウェアアップデートバージョン4.8.0をリリースし、中国のSigmaStar社と協力して対策ツールを提供しました。これは、製造業者とセキュリティ研究者間の建設的な協力関係の好例と言えるでしょう。
将来への影響を考えると、この発見は業界全体のファームウェアセキュリティ基準を向上させる契機となるはずです。デバイス製造時からの署名検証機能の実装、定期的なセキュリティ監査の義務化、エンドユーザー向けの脅威認識教育の充実などが求められるでしょう。
また、企業のIT部門は従来の「境界防御」モデルから「ゼロトラスト」アーキテクチャへの移行を真剣に検討する必要があります。USB機器を含むあらゆるハードウェアを潜在的な脅威として扱い、継続的な監視と検証を行う体制の構築が急務となっています。
今回のBadCam発見は、IoT時代における新たなセキュリティパラダイムの必要性を浮き彫りにしました。技術の進歩が新たな攻撃手法を生む一方で、防御側もより高度で包括的なセキュリティ戦略を確立していく必要があるのです。
【用語解説】
BadUSB攻撃
USBデバイスのファームウェアを悪用し、接続先コンピュータでキーボードやマウス等の入力デバイスとして偽装する攻撃手法である。2014年にKarsten NohlとJakob Lellによって実証され、ファームウェア層に潜伏するため従来のアンチウイルスでの検出が困難である。
USB Gadget機能
LinuxカーネルのUSB Gadgetフレームワークは、USB周辺機器(デバイス)側の機能を実装するためのソフトウェア基盤である。この機能により、通常USB機器として動作するデバイスが、他のUSB機器(キーボード、マウス、ストレージ等)として振る舞うことが可能になる。
ファームウェア署名検証
デバイスに書き込まれるファームウェアが正規のものであることを暗号学的に検証する仕組みである。デジタル署名により、改ざんされた悪意のあるファームウェアの実行を防止する重要なセキュリティ機能である。
ゼロトラストアーキテクチャ
「一切を信頼しない」を原則とするセキュリティモデルである。従来の境界防御とは異なり、内部ネットワークに接続されている全ての機器やユーザーを潜在的な脅威として扱い、継続的な認証と認可を要求する。
DEFCON
世界最大級のハッカー会議として知られるサイバーセキュリティカンファレンスである。1993年から毎年ラスベガスで開催され、セキュリティ研究者、ハッカー、企業関係者が最新の脅威や防御技術について発表と討議を行う場である。
ARM Cortex-A7
ARM社が開発した低電力・高効率のプロセッサアーキテクチャである。デュアルコア構成で動作し、組み込み機器やスマートデバイスに広く採用されている。今回の脆弱性対象であるSigmaStar SSC9351Dチップセットに搭載されている。
【参考リンク】
Eclypsium(外部)
ファームウェアおよびハードウェアセキュリティを専門とするアメリカのサイバーセキュリティ企業
レノボサポートサイト – 510 FHD Webカメラ(外部)
今回脆弱性が発見されたLenovo 510 FHD Webcamの製品情報とサービス部品を提供
レノボ セキュリティアドバイザリ(外部)
Lenovo製品のセキュリティ脆弱性情報と対策を公開するLenovo公式セキュリティページ
【参考記事】
BadCam: Turning Linux Webcams Into BadUSB Attack Tools(外部)
Eclypsium社が公開したBadCam脆弱性の詳細な技術解説記事
Virtual Media Vulnerability in BMC Opens Servers to Remote Attack(外部)
Eclypsium社が2019年に発見したSupermicro BMCの脆弱性に関する調査報告
【編集部後記】
今回のBadCam脆弱性は、私たちが普段何気なく使っているウェブカメラが、実は深刻なセキュリティリスクを秘めていることを明らかにしました。皆さんの職場や自宅で使用しているUSB機器について、改めて見直すきっかけになったでしょうか。
特に気になるのは、この攻撃が既に信頼済みのデバイスを狙い撃ちにしている点です。皆さんはLinux搭載のUSB機器をどの程度お使いでしょうか。また、企業のIT部門の方であれば、ゼロトラストモデルの導入をどのように進められているか、ぜひお聞かせください。
この技術進歩の光と影を一緒に見つめながら、より安全なデジタル環境を築いていければと思います。
