キヤノン製デジカメ「EOSシリーズ」などに脆弱性 - 攻撃を受けるおそれ

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center：JPCERT/CC)は8月7日、「Japan Vulnerability Notes（JVN）」に掲載した記事「JVNVU#97511331: キヤノン製デジタルカメラにおける複数の脆弱性」において、キヤノン製デジタルカメラに複数の脆弱性「CVE-2019-5994」「CVE-2019-5998」「CVE-2019-5999」「 CVE-2019-6000」「 CVE-2019-6001」「CVE-2019-5995」が存在すると伝えた。

脆弱性の影響を受けるプロダクトは次のとおり。

EOSシリーズ (デジタル一眼レフ、ミラーレス)

PowerShot SX70HS

PowerShot SX740HS

PowerShot G5XMarkII

今回、海外のセキュリティ調査機関によって、上記の製品が実装しているPTP(画像転送プロトコル)通信とファームウェア・アップデートに関する脆弱性が指摘されたという。これら脆弱性を悪用されると、攻撃者によって遠隔からの攻撃で任意のコードが実行されたり、不正規のファームウェアなどにアップデートを実施される危険性がある。

これら脆弱性は、ネットワークを介して第三者に乗っ取られたPCやスマートフォンなどのモバイル端末にカメラを接続することにより、カメラが攻撃を受ける可能性があるというものであることから、キヤノンは、セキュリティ対策の安全性が確認できないフリーWi-Fiなどのネットワーク環境で使用するPCやモバイル端末にカメラを接続しないよう呼びかけている。

キヤノンは、Wi-Fi機能を持つ以下の製品については、ファームウェアのアップデートを進めていくとしている。本稿執筆時点で、EOS 80 Dについては脆弱性に対応したファームウェアが公開されている。

EOS-1D X

EOS-1D X Mark II

EOS-1D C

EOS 5D MARK III/MARK IV

EOS 5Ds/5Ds R

EOS 6D/6D MARK II

EOS 7D MARK II

EOS 70 D

EOS 80 D

EOS Kiss X8i

EOS Kiss X9i/X9