概要

サイバーセキュリティとインフラセキュリティ庁（CISA）は、2026年3月3日に、Qualcomm シリコンセットのメモリ腐食脆弱性（CVE-2026-21385）を Known Exploited Vulnerabilities (KEV) カタログに追加しました。この脆弱性は、攻撃者が影響を受けるデバイスを侵害するための手段を提供する可能性があります。

脆弱性の詳細

CVE-2026-21385 は、Qualcomm シリコンセットで発生する整数オーバーフロー条件（CWE-190）から生じます。この脆弱性は、メモリのアライメント操作中に不適切な検証が行われ、整数値がオーバーフローし、隣接するメモリ領域が腐食する可能性があります。この種の脆弱性は、特権を昇格させたり、リモートコードを実行したり、またはデバイスを一貫して侵害するための武器化される可能性があります。

影響範囲

• Qualcomm プロセッサは、世界中で数百万人の Android スマートフォン、タブレット、自動車システム、および接続されたデバイスを動かしています。
• この脆弱性は、モバイル、組み込み、および IoT 環境で特に危険です。

CISA の対応

CISA は、この脆弱性が既に実世界の攻撃で利用されていることを確認し、Federal Civilian Executive Branch (FCEB) のすべての機関が 2026年3月24日までにこの脆弱性を修正することを義務付けています。

対策と推奨事項

• Qualcomm が公式の緩和策やファームウェア更新をリリースした場合、すぐに適用する。
• 影響を受けるチップセットを使用するクラウドベースのサービスについては、BOD 22-01 のガイダンスに従う。
• 緩和策が利用できない場合は、影響を受ける製品の使用を停止する。
• Qualcomm チップセットを実行しているデバイスで異常な動作や不正なメモリアクセスを監視する。
• CISA KEV カタログの更新を購読して、新しく武器化された脆弱性について最新情報を得る。

結論

Qualcomm パワードのインフラストラクチャに依存している組織は、この脆弱性を高優先度の修正項目として扱うべきです。

元記事: https://gbhackers.com/cisa-warns-qualcomm-chipsets-memory-corruption-vulnerability/