Last Updated on 2025-05-16 08:12 by admin
サムスン電子のデジタルサイネージ管理製品「MagicINFO 9サーバー」に重大な脆弱性(CVE-2025-4632)が発見され、脅威アクターによって実際に悪用されている。この脆弱性は2025年4月30日にSSD Secure Disclosureによって概念実証(POC)エクスプロイトが公開された後、すぐに悪用が始まった。
CVE-2025-4632は、制限されたディレクトリへのパス名の不適切な制限に関する脆弱性で、攻撃者がシステム権限で任意のファイルを書き込むことを可能にする。米国脆弱性データベース(NVD)によると、この脆弱性にはCVSS 3.1基本スコア9.8(最高10点中)という非常に高い危険度が割り当てられている。
注目すべき点は、この脆弱性が2024年8月にパッチが適用された以前の脆弱性(CVE-2024-7399)のパッチバイパスであることだ。セキュリティ企業HuntressとArctic Wolfは、最新バージョン(21.1050)を含むMagicINFO 9サーバーのインスタンスでもこの脆弱性が悪用可能であることを確認した。
実際の攻撃では、Miraiボットネットの展開が確認されている。Huntressの報告によると、3つの別々のインシデントでCVE-2025-4632の悪用が確認され、攻撃者は「srvany.exe」や「services.exe」などの追加ペイロードをダウンロードするための一連のコマンドを実行した。
サムスンは2025年5月13日に修正版(バージョン21.1052)をリリースした。しかし、Huntressの脅威ハンティングマネージャーであるJai Minton氏によると、このアップデートはホットフィックスであるため、MagicINFO 9サーバーのバージョン21.1050をインストールした後でなければ適用できない。また、サムスンのウェブサイトでは古いバージョンが依然としてデフォルトのダウンロードとなっている。
セキュリティ専門家は、MagicINFO 9サーバーのユーザーに対して、できるだけ早く最新の修正を適用し、脆弱なインスタンスがインターネットに公開されていないことを確認するよう勧告している。
References:
Attackers Target Samsung MagicINFO Server Bug, Patch Now
【編集部解説】
今回のサムスンMagicINFO 9サーバーの脆弱性問題は、デジタルサイネージ業界における重大なセキュリティインシデントとして注目されています。検索結果を精査すると、いくつかの重要な点が明らかになりました。
まず、この脆弱性(CVE-2025-4632)は、昨年8月に修正されたはずの脆弱性(CVE-2024-7399)のパッチバイパスであることが確認されています。つまり、サムスンが昨年実装したセキュリティ対策が不十分だったということになります。
特筆すべきは、この脆弱性の深刻度です。CVSS 3.1基本スコア9.8という非常に高い危険度が割り当てられており、これはセキュリティ脆弱性の評価で最高レベルに近い値です。認証なしでリモートコード実行が可能という特性は、攻撃者にとって非常に魅力的なターゲットとなります。
実際の攻撃状況を見ると、SSD Secure Disclosureによって概念実証(PoC)が公開された2025年4月30日からわずか数日で攻撃が始まっています。このスピードは、現代のサイバー攻撃の実態を如実に表しています。脆弱性が公開されてから実際の攻撃が始まるまでの「ゴールデンタイム」が極めて短くなっているのです。
興味深いのは、Huntressの報告によると、攻撃者が必ずしも攻撃を成功させられていないケースもあったことです。これは、攻撃者が「スプレーアンドプレイ」方式(広範囲に無差別に攻撃を仕掛ける手法)を採用していることを示唆しています。
また、修正パッチの適用に関する問題も見過ごせません。最新の修正版(21.1052)はホットフィックスであるため、まずバージョン21.1050をインストールした後でなければ適用できないという制約があります。さらに、サムスンのウェブサイトでは古いバージョンが依然としてデフォルトのダウンロードとなっているという問題もあります。これらの要因が、脆弱性の修正を遅らせる原因となっている可能性があります。
この事例から学べる重要な教訓は、パッチ管理の重要性です。特に、IoTデバイスやデジタルサイネージなど、一度設置すると「設定して忘れる」傾向にあるシステムでは、継続的なセキュリティアップデートが不可欠です。
デジタルサイネージは、空港、病院、小売店、企業のオフィスなど多くの公共スペースで使用されています。これらの場所でマルウェアに感染したディスプレイが不適切なコンテンツを表示したり、ボットネットの一部として他のシステムへの攻撃に利用されたりする可能性は、企業の評判やセキュリティに深刻な影響を与えかねません。
特にMiraiボットネットは、2016年に大規模なDDoS攻撃を引き起こしたことで悪名高いマルウェアです。今回の脆弱性を通じてMiraiボットネットが展開されていることが確認されており、これは単なるデジタルサイネージの問題を超えた、より広範なネットワークセキュリティの脅威となる可能性を示しています。
企業のIT管理者は、このような脆弱性に対して迅速に対応するだけでなく、重要なシステムをインターネットから隔離する「エアギャップ」の導入も検討すべきでしょう。特に、パッチが適用されるまでの一時的な対策として有効です。
今回の事例は、IoTデバイスのセキュリティがいかに重要であるかを改めて示すものとなりました。テクノロジーの進化とともに、私たちの周りにはますます多くのコネクテッドデバイスが配置されるようになっています。それらのセキュリティを確保することは、デジタル社会の安全を守るために不可欠な課題となっているのです。
【用語解説】
MagicINFO
サムスン電子が提供するデジタルサイネージ向けのコンテンツ管理システム。デジタルディスプレイの遠隔管理や、複数のディスプレイに一斉にコンテンツを配信する機能を持つ。商業施設や公共スペースなどで使用されている。
デジタルサイネージ
商業施設や公共スペースなどに設置された電子看板のこと。従来の紙の看板と異なり、動画や最新情報をリアルタイムで表示できる。
CVE(Common Vulnerabilities and Exposures)
公開されたセキュリティ上の脆弱性に付与される識別番号。CVE-2025-4632のように表記され、脆弱性の追跡や情報共有に使用される。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を数値化する国際標準システム。0.0~10.0のスコアで評価され、9.8は「極めて深刻」を意味する。
パッチバイパス
セキュリティ修正(パッチ)を回避して、修正済みのはずの脆弱性を再び悪用できるようにする手法。今回の脆弱性は以前修正されたものの回避策が見つかった例である。
Miraiボットネット
IoTデバイスを感染させて作られるボットネット。2016年に大規模なDDoS攻撃を引き起こし、多くのウェブサービスがダウンした事例で知られる。家電のリモコンに例えると、攻撃者が多数の家電を勝手に操作して一斉に電力を消費させるようなイメージである。
SSD Secure Disclosure
セキュリティ研究者が発見した脆弱性を責任ある形で公開するための仲介を行う組織。2007年設立。
Huntress
中小企業向けのセキュリティサービスを提供する企業。24時間365日のセキュリティ監視サービスを提供している。
Arctic Wolf
業向けのセキュリティ監視サービスを提供するサイバーセキュリティ企業。2012年設立。
パストラバーサル脆弱性
ウェブアプリケーションが適切に入力を検証しない場合に発生する脆弱性で、攻撃者がシステム上の任意のファイルにアクセスできるようになる問題。今回の脆弱性の中核となる問題。
【参考リンク】
サムスン電子(日本)(外部)
サムスン製品の公式サイト。スマートフォンやディスプレイなど幅広い製品情報を提供している。
SSD Secure Disclosure(外部)
セキュリティ脆弱性の責任ある開示を支援する組織のウェブサイト。研究者向けの情報が掲載されている。
Huntress(外部)
中小企業向けのマネージドセキュリティプラットフォームを提供する企業のウェブサイト。
Arctic Wolf(外部)
セキュリティ監視・対応サービスを提供する企業のウェブサイト。
【参考動画】
【編集部後記】
皆さんの会社や店舗でデジタルサイネージを活用されていますか?便利な反面、今回のサムスンの事例のようにセキュリティリスクも存在します。「設置して終わり」になっていませんか?定期的なアップデートやセキュリティチェックを行う習慣はありますか?もし今、デジタルサイネージを運用中なら、管理者パスワードの変更やファームウェアの更新状況を確認してみてはいかがでしょう。小さな対策が大きなリスクを防ぐことにつながります。皆さんのセキュリティ対策について、ぜひSNSでシェアしていただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
