IBMは、IBM Hardware Security Module(HSM)と連携するための基盤ソフトウェア IBM Common Cryptographic Architecture(CCA) に深刻な脆弱性があるとして、セキュリティ情報を公開しました。脆弱性は CVE-2025-13375 として識別され、未認証(認証不要)の第三者が、システム上で昇格した権限で任意コマンドを実行できる可能性があるとされています。CVSS v3.1の基本値は 9.8(Critical) で、機密性・完全性・可用性のいずれにも高い影響があると評価されています。
目次
脆弱性の概要:CCA経由で「不要な高権限」での実行が可能になる恐れ
IBMの説明によると、CCAはIBMの暗号化コプロセッサ/HSM(4769/4770)と接続するためのインターフェースとして利用されます。今回の CVE-2025-13375 は、CWE-250(不要な権限での実行)に分類され、攻撃者が 認証なしに、昇格した権限で任意コマンドを実行できる可能性がある点が最大の問題です。
HSMやCCAは、決済・カード処理など高信頼が求められる領域で利用されることが多く、影響範囲は「カードおよび利用アプリケーション」に及ぶ恐れがあるとされています。
影響を受ける製品・バージョン
本脆弱性の影響対象としてIBMが挙げているのは、以下のCCA関連製品です(いずれも特定バージョンが対象とされています)。
-
CCA 7(4769向け):バージョン 7.5.52
-
CCA 8(4770向け):バージョン 8.4.82
-
IBM 4769 Developers Toolkit:バージョン 7.5.52
対応プラットフォームは、IBM AIX、IBM i、IBM PowerLinux、Linux(Intel x86) とされています。
修正版(更新推奨)と修正済みファームウェア水準
IBMは「直ちに最新ファームウェア水準へ更新する」ことを強く推奨しています。修正済みバージョンは以下の通りです。
-
CCA 7(4769向け):修正版 7.5.53
-
固定ファームウェア水準:segment-1 7.0.80 / segment-2 7.5.53 / segment-3 7.5.53
-
-
CCA 8(4770向け):修正版 8.4.84
-
固定ファームウェア水準:segment-1 8.0.90 / segment-2 8.4.84 / segment-3 8.4.84
-
-
IBM 4769 Developers Toolkit:修正版 7.5.53(基盤となるCCA更新が必要)
プラットフォーム別の対応:AIX/PowerLinux/Linux(x86)はダウンロード更新、IBM iはPTF適用
IBMはOSごとに更新方法を案内しています。
-
IBM AIX / IBM PowerLinux / Linux(Intel x86)
-
4769向けは CCA 7.5.53、4770向けは CCA 8.4.84 への更新が必要です(それぞれのCCAソフトウェアダウンロードページから入手)。
-
-
IBM i
-
IBM iでは、PTFの適用で修正できるとされています。対象リリースとPTF番号は以下です。
-
IBM i 7.6:SJ08463(5733-CY3)、SJ08515(5770-SS1 Option 35)
-
IBM i 7.5:SJ08462(5733-CY3)、SJ08514(5770-SS1 Option 35)
-
IBM i 7.4:SJ08461(5733-CY3)、SJ08513(5770-SS1 Option 35)
-
IBM i 7.3:SJ08468(5733-CY3)、SJ08512(5770-SS1 Option 35)
-
-
回避策・軽減策は「なし」 更新が前提
IBMは本件について、回避策(Workarounds)や軽減策(Mitigations)は用意されていないと明記しています。そのため、リスク低減の実効策は 修正版への更新(またはIBM iのPTF適用) が中心となります。








