出典: Security NEXT – https://www.security-next.com/177589
「NVIDIA DGX Spark」に複数の脆弱性が判明 – クリティカルな問題も含む
AIコンピューティングプラットフォーム「NVIDIA DGX Spark」に複数のセキュリティ脆弱性が発見されました。特に深刻な「クリティカル」レベルの脆弱性も含まれており、NVIDIAは利用者に対して速やかなアップデートを呼びかけています。
主要なポイント
- 14件の脆弱性を公開:2025年11月25日、NVIDIAは「NVIDIA DGX Spark」に関する14件の脆弱性を公表しました。
- クリティカルな脆弱性(CVE-2025-33187):「SROOT」と呼ばれる保護領域のアクセス制御に不備があり、不正アクセスの恐れがあると指摘。CVSSv3.1スコアは9.3で最高評価の「クリティカル」とされています。
- 高リスクの脆弱性:ハードウェア制御の改ざんを許す「CVE-2025-33188」(CVSS 8.0)や、ファームウェアの域外書き込みが可能な「CVE-2025-33189」(CVSS 7.8)も報告されており、重要度は「高」と評価されています。
- その他の脆弱性:「中」レベルが8件、「低」レベルが3件存在し、合計14件の問題に対応しています。
- 修正パッチの提供:NVIDIAはこれらの脆弱性を修正したアップデート「OTA0」をリリースし、ユーザーに適用を促しています。
技術的な詳細や背景情報
「NVIDIA DGX Spark」はデスクトップ設置型のAIコンピューティングプラットフォームで、高度なAI処理を行うためのハードウェアとソフトウェアが統合されています。今回の脆弱性の中で特に注目される「SROOT」とは、セキュリティ保護領域の一種で、重要なシステムリソースやファームウェアを保護する役割を担っています。
「CVE-2025-33187」は、このSROOTのアクセス制御に不備があり、本来アクセスが制限されるべき領域に不正にアクセスされる可能性があります。これにより、攻撃者がシステムの深部に侵入し、制御を奪うリスクが高まります。
また、「CVE-2025-33188」や「CVE-2025-33189」はハードウェア制御やファームウェアの改ざんを許すもので、これらはシステムの根幹を揺るがす深刻な問題です。ファームウェアの域外書き込みは、意図しないメモリ領域への書き込みを可能にし、システムの不安定化や悪意あるコードの実行を引き起こす恐れがあります。
影響や重要性
これらの脆弱性は、AIプラットフォームの安全性に直接影響を及ぼすため、企業や研究機関での利用者にとって非常に重要です。攻撃者によりシステムの制御が奪われると、機密データの漏洩やAIモデルの改ざん、さらにはサービス停止などの深刻な被害が発生する可能性があります。
特に、AI技術の発展に伴い、DGX Sparkのような高性能プラットフォームのセキュリティ確保は不可欠です。今回のようなクリティカルな脆弱性は早急に対処し、最新のアップデートを適用することが求められます。
まとめ
NVIDIA DGX Sparkにおける14件の脆弱性の発覚は、AIプラットフォームのセキュリティリスクを改めて浮き彫りにしました。特に「SROOT」のアクセス制御不備など、クリティカルな問題が含まれているため、利用者は速やかにNVIDIAが提供するアップデート「OTA0」を適用することが重要です。
今後もAI関連機器のセキュリティには注意を払い、定期的なアップデートと監視を行うことが安全な運用の鍵となります。
