「ReVault」セキュリティの脆弱性が数百万台のDellノートパソコンに影響

出典：Robert Way（Shutterstockより）

BLACK HAT USA – ラスベガス – 8月6日（水）– 政府機関や大企業で使用されているものを含む100以上のDellノートパソコンモデルに、攻撃者がデバイスへの永続的な制御権を獲得・維持できる脆弱性が存在することが判明しました。これらの脆弱性は、システムの再起動後も有効です。

この脆弱性は、Dellが特定のLatitudeおよびPrecisionビジネスノートパソコンモデルで、パスワードや暗号鍵、指紋スキャンなどの機密データを安全に保存するために使用している最新技術の一つであるControlVault3を管理するファームウェアに影響します。また、関連するWindowsアプリケーションプログラミングインターフェース（API）にも影響します。

ノートパソコンにおけるファームウェアレベルのセキュリティ脆弱性

攻撃者は、Ciscoの研究者が本日Black Hat USAで発表するこれらの脆弱性（総称して「ReVault」と呼ばれる）を連鎖的に利用し、初期アクセス後に権限を昇格させ、認証制御を回避し、侵害されたシステム上で永続的なアクセスを維持することができます。

TalosがDellに報告した5つのReVault脆弱性のうち、CVE 2025-24311（CVSSスコア：8.1）およびCVE-2025-25050（CVSSスコア：8.8）は、いわゆるアウトオブバウンドメモリアクセスの脆弱性です。攻撃者は、細工したAPIコールをファームウェアインターフェースに送信することで、機密データを漏洩させることができます。

DellのControlVault3ファームウェアに存在する脆弱性の一つ、CVE-2025-25215（CVSSスコア：8.8）は、任意のメモリ解放の問題であり、攻撃者がセキュアなメモリ領域を改ざんしたり、制御を操作したり、侵害されたシステム上で非常に深いレベルで永続化したりすることを可能にします。TalosがDellに報告した4つ目の脆弱性、CVE-2025-24922（CVSSスコア：8.8）は、バッファオーバーフローの脆弱性であり、悪意のあるコードを実行するために悪用される可能性があります。5つ目のCVE-2025-24919（CVSSスコア：8.1）は、安全でないデシリアライズに起因し、同様に攻撃者が影響を受けたシステム上で不正なコマンドを実行できるようにします。

ReVaultノートパソコンの脆弱性は、企業セキュリティにおける懸念の高まりを浮き彫りにしています。それは、従来の対策では解決できないファームウェアレベルの攻撃です。ソフトウェアの脆弱性を標的とするマルウェアとは異なり、ファームウェアの侵害はオペレーティングシステムの下層で動作し、システムの完全な再インストールを行っても持続するため、企業や政府機関、機密データを扱うあらゆる組織にとって特に厄介です。UEFIブートローダー、BIOS、セキュリティチップ、管理コントローラーなどは、攻撃者がシステムの深いレベルで永続化を確立し、暗号化前の機密データを傍受し、OSのアップデートやウイルススキャン、さらにはハードウェアの交換を経ても隠密にアクセスを維持できるようにします。

出典：Cisco Talos

Dellにおける任意コード実行：リモートおよびローカル

Cisco Talosの上級脆弱性研究者であるPhilippe Laulheret氏は、ReVaultの脆弱性について、攻撃者がリモートまたは物理的にデバイスへアクセスすることで悪用可能な問題だと説明しています。リモートの場合、攻撃者はシステムへの初期アクセスを得た後にこれらの脆弱性を利用し、権限を昇格させたり、ファームウェアを改変して再起動後も永続的なアクセスを確保したりできます。

「たとえWindowsを再インストールしても、侵害されたファームウェアは再びWindowsホストを侵害し、再びシステムレベルの権限を獲得できます」とLaulheret氏はBlack Hatセッション前のブリーフィングでDark Readingに語っています。

一方、影響を受けたデバイスに物理的にアクセスできる攻撃者は、同様のことが可能であるだけでなく、ファームウェアを改ざんして正規ユーザー以外の誰でもデバイスにログインできるようにすることもできます。

「CVE-2025-24922、CVE-2025-25215、CVE-2025-25050はすべて、ファームウェア上で任意のコード実行を可能にし、悪意のあるファームウェアに置き換えることを可能にします」とLaulheret氏は述べています。

実証（PoC）エクスプロイトでは、Cisco Talosの研究者がCVE-2025-25215とCVE-2025-24922を組み合わせてコード実行を実現しました。

「それぞれ単独でも利用可能だと考えていますが、組み合わせることで悪用が容易になりました」とLaulheret氏は説明します。影響の観点からは、CVE-2025-24919により、研究者はシステムレベルの権限を用いてWindowsホスト上でサービスを侵害できたとLaulheret氏は付け加えます。このアクセスこそが、攻撃者が再起動やOS再インストールを経ても永続的なアクセスを維持できる理由だと述べています。

Dellは、影響を受けるControlVault3ファームウェアのバージョンに対してアップデートをリリースしており、Cisco Talosは影響を受けるすべての組織に対し、速やかにパッチを適用するよう強く推奨しています。ControlVaultが有用となるセキュリティ周辺機器（指紋リーダーやスマートカードリーダーなど）を使用していない組織は、ControlVaultの無効化を検討してもよいと同社は推奨しています。「リスクが高まっている場合（例：ホテルの部屋にノートパソコンを無人で置いておく場合）には、指紋認証ログインの無効化も検討する価値があります」と研究では述べられています。「WindowsはEnhanced Sign-in Security（ESS）も提供しており、物理攻撃の一部を緩和したり、不適切な（ControlVault）ファームウェアを検出したりするのに役立つ場合があります。」

幸いなことに、影響を受けた組織にとって、脆弱なシステムを安全な状態に戻すのは比較的容易だとLaulheret氏は述べています。実際、Dellが脆弱性のパッチを公開した直後、Windows Update経由でも配信されました。つまり、サービスを利用している組織は自動的に修正版を受け取っているはずです。「現在、ほとんどのユーザーが自動的にアップデートされていると考えています」と彼は付け加えています。