ソニー製ネットワークカメラに関する重大な脆弱性「CVE-2025-5124」が報告されました。この脆弱性は、複数のモデルにおいて管理インターフェースが初期設定のまま運用されている場合、リモートからの不正アクセスを許す可能性があります。セキュリティ研究者によりPoC(概念実証コード)が公開されており、実際の攻撃に悪用されるリスクが高まっています。
対象のカメラ
以下のこれらモデルのファームウェアバージョン1.30までが対象となります。
脆弱性は管理インターフェースに存在し、初期設定のままの認証情報(デフォルトクレデンシャル)を使用している場合、リモートからの不正アクセスが可能となります。
-
SNC-M1
-
SNC-M3
-
SNC-RZ25N
-
SNC-RZ30N
-
SNC-DS10
-
SNC-CS3N
-
SNC-RX570
背景
この脆弱性は、CWE-1392「デフォルトクレデンシャルの使用」に分類されます。攻撃者は、初期設定のままの認証情報を利用して、管理インターフェースにアクセスし、カメラの設定変更や映像の取得、さらには他のネットワーク機器への攻撃の踏み台として利用する可能性があります。攻撃の複雑性は高いものの、PoCが公開されていることから、攻撃の敷居が下がっていると考えられます。
影響とリスク
CVSS v4.0では9.2(クリティカル)、CVSS v3.1では8.1(高)と評価されており、以下のリスクが考えられます
-
機密性の完全な侵害
-
データの完全性の損失
-
カメラ機能の停止や乗っ取り
-
ネットワーク内の他の機器への攻撃の踏み台としての利用
特に、公共施設や企業のセキュリティシステムに組み込まれている場合、重大な情報漏洩やサービス停止のリスクがあります。
対策
ソニーは、2018年7月から2025年1月までの間に「ハードニングガイド(セキュリティガイド)」を公開し、初期パスワードの変更を推奨してきました。
しかし、設定変更が行われていないデバイスが存在する可能性があるため、以下の対応を推奨します
-
管理インターフェースの初期パスワードを強固なものに変更する。
-
最新のファームウェアへのアップデートを実施する。
-
管理インターフェースへのアクセスを制限し、必要最小限のIPアドレスからのみアクセス可能とする。
-
ネットワーク監視を強化し、不審なアクセスがないか定期的に確認する。
関連記事
ASUS製ルーターに重大な認証回避の脆弱性(CVE-2025-2492)
Jenkins、複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885)
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
WordPressテーマ「Motors」に深刻な脆弱性、22,000サイトが乗っ取りの危機に(CVE-2025-4322)
VMwareが深刻度が高い脆弱性に緊急パッチを公開-Cloud FoundationおよびvCenterなどに深刻なリスク(VMSA-2025-0009,VMSA-2025-0010)
-200x200.png)
Windows版のVMware Tools に認証バイパスの脆弱性、対象者はアップデートを(CVE-2025-22230)
GitLabのGitLab CommunityとEnterprise エディションで重大な脆弱性(CVE-2024-6385)
Veeam Recovery Orchestratorで重大な脆弱性(CVE-2024-29855)
Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)
