サイバーセキュリティの話になると、いくら慎重でも慎重すぎることはありません。
さらにバックドア(あるいはその疑い)となると、次に出てくる疑問は「誰が仕込んだのか?」です。保守目的だったのか、それとも別の思惑があったのか? しかし米国は、中国製品に内部へ仕込まれたバックドアについて語っていなかったでしょうか? それなのに今、米国はNVIDIA技術の対中利用を解禁したのでしょうか?
疑問は尽きず、技術と地政学が入り混じる中で不安も増していきます。
しかし要するに、GPUの巨人NVIDIAは、自社ソフトウェアIsaac Launchableに対する緊急のセキュリティ更新を公開したばかりです。CVSS 9.8の重大な脆弱性が3件あり、影響を受けるシステムの安全性を損なう恐れがありましたが、問題を解決できるのはアップデートのみです。
GPUの巨人は、ロボット開発および人工知能の開発環境に危険をもたらす、3つの別個の欠陥を明らかにしました:CVE-2025-33222、CVE-2025-33223、そしてCVE-2025-33224です。
NVIDIAが発表した注意喚起によると、「Isaac Launchableには、攻撃者がハードコードされた認証情報の問題を悪用できる可能性のある脆弱性が含まれている」としています。
脆弱性は、新バージョン1.1より前のすべてのソフトウェアバージョンに影響し、ユーザーをリモートでのコード実行からデータ改ざんに至るまでのリスクにさらします。
CVE-2025-33222として特定された極めて重大なセキュリティ欠陥は、古典的ながら深刻な結果を招くミス、すなわちハードコードされた認証情報の使用です。攻撃者は、ソフトウェアのコードに直接埋め込まれた認証情報を利用して、認証システムを完全に回避できてしまいます。「この脆弱性の悪用に成功すると、コード実行、権限昇格、サービス拒否、データ改ざんにつながる可能性がある」とされています。
1.1より前のバージョンを使用しているユーザーは脆弱であり、これらの重大なセキュリティ上の欠陥を塞ぐため、直ちにバージョン1.1へアップデートすべきです。
残る2つの脆弱性、CVE-2025-33223およびCVE-2025-33224は、権限の不適切な管理に起因します。これらの欠陥により、攻撃者は本来必要としない、より高い権限での実行を引き起こすことが可能になります。
「重大(Critical)」という深刻度と、想定される被害の広範さを踏まえ、NVIDIAはすべてのユーザーに対し、できるだけ早くパッチを適用するよう強く推奨しています。すべてのプラットフォームにおいて、脆弱性はIsaac Launchableに関連しています。
ハードコードされた認証情報の欠陥と同様に、これらの問題もシステムの完全な侵害につながり得ます。想定される影響は広範で、「コード実行、権限昇格、サービス拒否、情報漏えい、データ改ざん」が含まれます。