「音響共鳴」によるシステムクラッシュの脆弱性

2022年8月17日に「CVE-2022-38392」として登録された脆弱性情報は2005年頃に発売されたノートPCに搭載された回転数5400rpmのある特定のOEM製HDDが、ジャネット・ジャクソンの一楽曲のミュージックビデオを再生するとデバイスの誤作動を引き起こしシステムがクラッシュするというものでした。

一定時間以上PC本体またはPC付近のスピーカーからある音量で特定の周波数を流し続けることによりHDD内の部品に「音響共鳴」による振動を引き起こし、それが原因でHDDを損傷してシステムをクラッシュさせるという攻撃方法は「ブルーノート攻撃」と呼ばれます。

該当となる機器は古い機種であることから既に廃棄されていたり使用されなくなっている可能性が高いことや、悪意を持った攻撃者に利用されない様、具体的な機種については明記されていないようですが、当然のことながらHDDとスピーカーが搭載されている機器であればOSが何であるか以前にPCに限らず被害を受ける可能性があるということになります。
対処方法としてはHDDのファームウェアアップデートや可能であればSSDへの置き換えが挙げられます。

恥ずかしながら筆者はCVEにある意味「物理的な攻撃」でシステムを破壊する脆弱性についても登録されていることを初めて知りました。そこでどのような基準でCVE IDが付与されているのかを調べて見ました。

ご存知の方が多いかと思いますが、CVE IDの付与にはCVEを管理しているMITRECorporationに申請して登録してもらうか、CVE Numbering Authorities（CNA）というCVE IDを割り振り公開する研究グループ（2022年8月現在35か国236組織参加）が、自社製品に対してのCVE IDを付与しています。
「CVE-2022-38392」はMITRE Corporationにより登録されたものと記載されています。

CVEに登録されている「脆弱性」の対象は「機密性、完全性、可用性に悪影響を与えたり、悪用される可能性のある脆弱性に起因するソフトウェア、ファームウェア、ハードウェア、サービスコンポーネントの欠陥」とあります。
今回のようにハードウェアを「物理的に破壊」してシステムを壊してしまう現象例は可用性に悪影響を与えることから登録された珍しい事例だと思われます。

※本記事は弊社保守サポートサービスに加入された方向けの情報配信メルマガ「OSSサポートサービスメールマガジン」から転記しております。

お問い合わせ

弊社では様々なサービスを取り扱っております。
詳細はサービス一覧からご覧ください。