出典: Security NEXT – https://www.security-next.com/181480
「FinalCode Client」に複数の脆弱性が判明 – 上書きインストールで対策を
デジタルアーツのファイル暗号化製品「FinalCode Client」に複数の深刻な脆弱性が発見されました。既に製品を利用しているユーザーには、最新のインストーラーを用いた上書きインストールが強く推奨されています。
主要なポイント
- 脆弱性の内容:アクセス権設定の不備による「CVE-2026-23703」と、インストーラーの検索パス処理に関する「CVE-2026-25191」の2つの脆弱性が確認されました。
- 影響範囲:「FinalCode VA版」「FinalCode@Cloud」「m-FILTERシリーズ暗号化強固オプション(FinalCode連携)」など複数の製品に影響があります。
- リスク:これらの脆弱性を悪用されると、インストーラー実行時やアプリケーション起動時に管理者権限で任意のコードが実行される恐れがあります。
- 評価スコア:CVSSv4.0では「CVE-2026-23703」が8.5、「CVE-2026-25191」が8.4と高い危険度が示されています(CVSSv3.0では両者とも7.8)。
- 対応策:デジタルアーツは脆弱性を修正した最新版のインストーラーを公開しており、既存ユーザーには上書きインストールによるアクセス権の修正が推奨されています。
技術的な詳細や背景情報
「CVE-2026-23703」は、製品のインストールディレクトリにおけるアクセス権設定が適切でないことに起因する脆弱性です。これにより、悪意のあるユーザーが権限のないファイル操作を行い、管理者権限のコード実行に繋がる可能性があります。
一方、「CVE-2026-25191」はインストーラーの検索パス処理に問題があり、悪意のあるファイルを不正に読み込ませることで任意コード実行が可能となります。検索パスの脆弱性は、インストール時に信頼できない場所からコードが読み込まれるリスクを指します。
これらの脆弱性は、GMOサイバーセキュリティbyイエラエの松本一真氏が情報処理推進機構(IPA)に報告し、JPCERTコーディネーションセンターが調整を行いました。デジタルアーツは迅速に修正対応を実施し、最新のインストーラーを提供しています。
影響や重要性
ファイル暗号化製品は企業の機密情報保護に不可欠なツールであり、そのセキュリティが脆弱であることは重大なリスクを伴います。今回の脆弱性は管理者権限での任意コード実行を許すため、攻撃者がシステム全体を制御する可能性があります。
特に企業や組織で「FinalCode Client」や関連製品を利用している場合、速やかなアップデートとアクセス権の見直しが必要です。放置すると情報漏洩やシステム破壊など深刻な被害に繋がる恐れがあります。
まとめ
「FinalCode Client」に発見された複数の脆弱性は、高い危険度を持ち、管理者権限での任意コード実行を許す可能性があります。デジタルアーツは修正済みのインストーラーを公開しているため、既存ユーザーは必ず最新バージョンへの上書きインストールを実施し、アクセス権の適切な設定を行うことが重要です。安全なファイル暗号化環境を維持するため、早急な対応を心がけましょう。
