ASUS Business ManagerのFile Shredder機能が削除に-脆弱性 CVE-2025-13348 対応で

セキュリティニュース

投稿日時: 更新日時:

ASUS Business ManagerのFile Shredder機能が削除に-脆弱性 CVE-2025-13348 対応で

ASUSは、法人向けPCで利用される管理ツールASUS Business Managerに関して、セキュリティ更新を公開しました。対象はSecure Delete Driver(Secure Delete関連ドライバ)で、アクセス制御が不適切なことにより、ローカルユーザーが細工したリクエストを送ることで任意のパスにファイルを作成できる可能性があるとされています。CVEはCVE-2025-13348、CVSSは8.5(High)として扱われています。

今回の対応が特徴的なのは、ドライバのロジック修正で機能を残すのではなく、データ消去機能として提供されていたFile Shredder(Secure Delete相当)の機能自体を最新バージョンで廃止・削除する判断が取られた点です。更新後は、ユーザー画面からFile Shredderボタンが消える形になります。

脆弱性の内容

ASUSのアドバイザリでは、Secure Delete Driverにおける不適切なアクセス制御(improper access control)が原因とされ、ローカルの攻撃者が特別に細工したリクエストを送ることで、指定したパスに任意ファイルを作成できる可能性が示されています。

任意ファイル作成は一見すると地味に見えますが、実際の侵害シナリオでは致命傷になり得ます。たとえば、次のような悪用が現実的です。

  • スタートアップフォルダやタスク関連のパスにファイルを作り、永続化の足掛かりにする

  • 設定ファイルや参照されるスクリプトを狙って配置し、次回起動時に意図しない挙動を誘発する

  • 監視・保護が薄い領域にファイルを作成して、別の手口(DLLハイジャック等)と組み合わせる

本件はネットワーク越しに誰でも即時侵入できるタイプではなく、前提としてローカル実行権限が必要です。

ただし、すでに端末がマルウェア感染やアカウント侵害を受けている環境では、権限昇格や横展開の踏み台として使われるリスクが高く、放置は危険です。

対象バージョン

ASUSのセキュリティ情報では、ASUS Business Manager 3.0.36.0以前が影響を受けるバージョンとして示されています。

該当バージョンが残っている場合、File Shredder(Secure Delete)機能を含むドライバがリスク要因になります。

対策バージョン

対策としては、ASUS Business ManagerをV3.0.37.0以降へ更新することが求められています。

今回の修正は、脆弱性を含むFile Shredder機能を廃止・削除することでリスクを根本から取り除く方針のため、更新後は当該機能が利用できなくなる前提で社内手順を見直す必要があります。