Published: 2025-06-06 08:00
NVIDIA Riva の脆弱性による不正アクセスと情報漏えいの危険性
トレンドマイクロ株式会社は6月3日、「NVIDIA Riva」の脆弱性「CVE-2025-23242」と「CVE-2025-23243」による不正アクセスと情報漏えいの危険性についての解説記事を発表した。
Trend Micro Researchでは、AI搭載型音声/翻訳マイクロサービスセットであるNVIDIA Rivaをクラウド環境内に導入している複数の企業や組織で、認証設定による保護対策がなく攻撃者が潜在的にアクセス可能な状態でRiva APIエンドポイントが外部公開されているケースを発見し、これらの無防備な外部公開の原因となった2つの脆弱性(CVE-2025-23242 およびCVE-2025-23243)を特定している。
同社によると、Rivaの導入時に設定ミスがあると外部からの不正アクセスが可能となり、GPUリソースやAPIキーが無制限に悪用されるおそれがあり、さらにこれらの外部公開されたAPIは、データ漏えい、サービス拒否(Denial of Service、DoS)攻撃、稼働中のシステムを停止させるリスクを高めるという。
独自のAIモデルを搭載させたサービスを実行している企業や組織は、それらのモデルや推論サービスが不適切に設定されたAPIを通じて外部に公開された場合、知的財産等が窃取される可能性があるため、自社の導入状況を確認する必要がある。特にクラウド環境内でデフォルト設定や不適切な設定を用いている場合は、Rivaサービスを意図せず外部公開させている可能性があるとのこと。
同社では、すべてのRivaサービス管理者に対し、意図せずサービスを外部公開させないよう設定内容を確認し、最新版のRivaフレームワークを利用することを推奨している。併せて、NVIDIAが提唱するベストプラクティスや下記のセキュリティ対策の実施を検討するよう呼びかけている。
・セキュアなAPIゲートウェイを実装し、意図したgRPCまたはREST APIエンドポイントのみを外部に公開。
| # | 言葉 | 意味 |
|---|---|---|
| 8 | 外部 | がいぶ (外部) : 1. outside (e.g. of a building); exterior 2. outside (of a group, company, etc.); outside world |
| 7 | 公開 | こうかい (公開) : opening to the public; making available to the public; putting on display; exhibiting; showing (play, movie, etc.); holding (interview, etc.); open; public |
| 4 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 3 | 導入 | どうにゅう (導入) : introduction; bringing in; leading in; installation |
| 3 | 意図 | いと (意図) : intention; aim; design |
| 2 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 2 | 不正アクセス | ふせいアクセス (不正アクセス) : unauthorized (computer) access; hacking |
| 2 | 搭載 | とうさい (搭載) : 1. loading (on board); equipping 2. equipped (with); built-in |
| 2 | 環境 | かんきょう (環境) : environment; circumstance |
| 2 | 内 | うち (内) : 1. inside; within 2. while (e.g. one is young); during; within (e.g. a day); in the course of |
| 2 | 企業 | きぎょう (企業) : enterprise; business; company; corporation |
| 2 | 組織 | そしき (組織) : 1. organization; organisation; formation 2. structure; construction; setup; constitution |
| 2 | 対策 | たいさく (対策) : measure; step; countermeasure; counterplan; countermove; strategy; preparation (e.g. for a test) |
| 2 | 可能 | かのう (可能) : possible; potential; practicable; feasible |
| 2 | 同社 | どうしゃ (同社) : the same firm |
| 2 | 不適切 | ふてきせつ (不適切) : unsuitable; inappropriate; improper |
| 2 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 2 | 確認 | かくにん (確認) : confirmation; verification; validation; review; check; affirmation; identification |
| 1 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 1 | 情報漏えい | じょうほうろうえい (情報漏洩) : information leak; data breach |
| 1 | 危険性 | きけんせい (危険性) : riskiness; (level of) danger |
| 1 | 解説 | かいせつ (解説) : explanation; commentary; exposition; elucidation |
| 1 | 記事 | きじ (記事) : article; news story; report; account |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 型 | かた (型) : 1. model; type (e.g. of machine, goods, etc.) 2. type; style; pattern |
| 1 | 音声 | おんせい (音声) : 1. voice; speech; sound of a voice 2. sound (e.g. of a TV) |
| 1 | 複数 | ふくすう (複数) : plural; multiple; several |
| 1 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 1 | 保護 | ほご (保護) : 1. protection; safeguard; guardianship; custody; patronage 2. preservation; conservation |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | 潜在的 | せんざいてき (潜在的) : latent; potential |
| 1 | 状態 | じょうたい (状態) : state; condition; situation; appearance; circumstances |
| 1 | 発見 | はっけん (発見) : discovery; detection; finding |
| 1 | 無防備 | むぼうび (無防備) : defenseless; defenceless; unprotected; vulnerable |
| 1 | および | および (及び) : and; as well as |
| 1 | 特定 | とくてい (特定) : 1. specific; particular; designated; special 2. specifying; designating; identifying; pinpointing |
| 1 | 無制限 | むせいげん (無制限) : unlimited; unrestricted; limitless |
| 1 | 悪用 | あくよう (悪用) : abuse; misuse; perversion |
| 1 | おそれ | おそれ (恐れ) : fear; horror; anxiety; concern; uneasiness; reverence |
| 1 | さらに | さらに (更に) : furthermore; again; after all; more and more; moreover; even more |
| 1 | 漏えい | ろうえい (漏洩) : 1. leak (of secrets, information, etc.); disclosure; divulging 2. leak (of gas, liquid, etc.); leakage; escape (of gas); coming through (of light) |
| 1 | 拒否 | きょひ (拒否) : refusal; rejection; denial; veto |
| 1 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 1 | 稼働中 | かどうちゅう (稼働中) : working; in operation; running; active |
| 1 | 停止 | ていし (停止) : 1. stoppage; coming to a stop; halt; standstill 2. ceasing (movement, activity, etc.); suspension (of operations); interruption (e.g. of electricity supply); cutting off |
| 1 | 高める | たかめる (高める) : to raise; to lift; to boost; to enhance |
| 1 | 独自 | どくじ (独自) : 1. original; unique; distinctive; characteristic; peculiar 2. independent; one's own; personal |
| 1 | 実行 | じっこう (実行) : execution (e.g. of a plan); carrying out; practice; action; implementation; fulfillment; realization |
| 1 | 推論 | すいろん (推論) : inference; deduction; induction; reasoning |
| 1 | 通ずる | つうずる (通ずる) : 1. to be open (to traffic); to lead to; to communicate (with) 2. to flow (liquid, current); to pass; to get through to |
| 1 | 知的財産 | ちてきざいさん (知的財産) : intellectual property |
| 1 | 等 | など (等) : 1. et cetera; etc.; and the like; and so forth 2. or something |
| 1 | 窃取 | せっしゅ (窃取) : theft; stealing; larceny |
| 1 | 自社 | じしゃ (自社) : 1. one's company; company one works for 2. in-house; belonging to the company |
| 1 | 状況 | じょうきょう (状況) : state of affairs (around you); situation; circumstances |
| 1 | 用いる | もちいる (用いる) : to use; to make use of; to utilize; to utilise |
| 1 | すべて | すべて (全て) : 1. everything; all; the whole 2. entirely; completely; wholly; all |
| 1 | 管理者 | かんりしゃ (管理者) : 1. manager; landlord; warden; superintendent; supervisor; custodian 2. root (user) |
| 1 | 対する | たいする (対する) : 1. to face (each other); to be facing 2. to be directed toward (the future, etc.); to be in response to; to be related to |
| 1 | 最新版 | さいしんばん (最新版) : latest version; latest edition |
| 1 | 推奨 | すいしょう (推奨) : recommendation; endorsement |
| 1 | 併せる | あわせる (合わせる) : 1. to match (rhythm, speed, etc.) 2. to join together; to unite; to combine; to add up |
| 1 | 提唱 | ていしょう (提唱) : advocacy; proposal |
| 1 | 下記 | かき (下記) : the following |
| 1 | 実施 | じっし (実施) : enforcement; implementation; putting into practice; carrying out; operation; working (e.g. working parameters); enactment |
| 1 | 検討 | けんとう (検討) : consideration; examination; investigation; study; scrutiny; discussion; analysis; review |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | 実装 | じっそう (実装) : implementation (e.g. of a feature); installation (of equipment); mounting; packaging |
| 1 | のみ | のみ : only; nothing but |