• JVNVU#97511331 - キヤノン製デジタルカメラにおける複数の脆弱性

    キヤノン製デジタルカメラにおけるPTP(画像転送プロトコル)通信機能およびファームウエアアップデート機能の脆弱性について

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月7日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#97511331: キヤノン製デジタルカメラにおける複数の脆弱性」において、キヤノン製デジタルカメラに複数の脆弱性「CVE-2019-5994」「CVE-2019-5998」「CVE-2019-5999」「 CVE-2019-6000」「 CVE-2019-6001」「CVE-2019-5995」が存在すると伝えた。

脆弱性の影響を受けるプロダクトは次のとおり。

  • EOSシリーズ (デジタル一眼レフ、ミラーレス)
  • PowerShot SX70HS
  • PowerShot SX740HS
  • PowerShot G5XMarkII

今回、海外のセキュリティ調査機関によって、上記の製品が実装しているPTP(画像転送プロトコル)通信とファームウェア・アップデートに関する脆弱性が指摘されたという。これら脆弱性を悪用されると、攻撃者によって遠隔からの攻撃で任意のコードが実行されたり、不正規のファームウェアなどにアップデートを実施される危険性がある。

これら脆弱性は、ネットワークを介して第三者に乗っ取られたPCやスマートフォンなどのモバイル端末にカメラを接続することにより、カメラが攻撃を受ける可能性があるというものであることから、キヤノンは、セキュリティ対策の安全性が確認できないフリーWi-Fiなどのネットワーク環境で使用するPCやモバイル端末にカメラを接続しないよう呼びかけている。

キヤノンは、Wi-Fi機能を持つ以下の製品については、ファームウェアのアップデートを進めていくとしている。本稿執筆時点で、EOS 80 Dについては脆弱性に対応したファームウェアが公開されている。

  • EOS-1D X
  • EOS-1D X Mark II
  • EOS-1D C
  • EOS 5D MARK III/MARK IV
  • EOS 5Ds/5Ds R
  • EOS 6D/6D MARK II
  • EOS 7D MARK II
  • EOS 70 D
  • EOS 80 D
  • EOS Kiss X8i
  • EOS Kiss X9i/X9
  • EOS Kiss X10
  • EOS 8000D
  • EOS 9000D
  • EOS Kiss X80
  • EOS Kiss X90
  • EOS R/RP
  • EOS M2/M3/M5/M6/M10/M100
  • EOS Kiss M
  • PowerShot SX70HS
  • PowerShot SX740HS
  • PowerShot G5XMarkII