概要
オープンソースのデバイス管理ソフトウェアであるFleetにおいて、デバイスのロックおよびワイプに使用されるPINが、予測可能な方法で生成される脆弱性(CVE-2026-23999)が報告されました。この脆弱性は、バージョン4.80.1より前のFleetに存在します。
報告によると、影響を受けるバージョンでは、デバイスロックPINが現在のUnixタイムスタンプのみに基づいて生成されており、秘密鍵や追加のエントロピーが使用されていませんでした。このため、デバイスがロックされたおおよその時刻が判明している場合、PINが推測される可能性があります。
影響範囲
- Fleetのバージョン4.80.1より前のバージョンが影響を受けます。
想定される影響
物理的にデバイスにアクセス可能な攻撃者が、デバイスがロックされたおおよその時刻を知っている場合、デバイスのロックPINを予測し、デバイスのロックを解除できる可能性があります。
ただし、この脆弱性の悪用には複数の制約があると報告されています。具体的には、オペレーティングシステムによるPIN入力試行回数の制限や、デバイスワイプ操作が完了するまでの時間的制約があるため、悪用は困難であるとされています。また、この問題はリモートからの悪用、Fleet全体の侵害、またはFleet認証制御のバイパスには繋がらないと説明されています。
攻撃成立条件・悪用状況
攻撃成立条件
- 対象デバイスへの物理的なアクセスが必要です。
- デバイスがロックされたおおよその時刻を攻撃者が把握している必要があります。
- オペレーティングシステムが課すPIN入力試行回数制限を回避するための時間的猶予が必要です。
悪用状況
現時点では、この脆弱性が実際に悪用されたという情報は報告されていません。
推奨対策
今すぐできる対策(最優先)
- Fleetのアップデート: 開発元から提供されているバージョン4.80.1以降へ速やかにアップデートしてください。このバージョンには本脆弱性に対する修正が含まれています。
中長期的な対策
本脆弱性に関しては、ソフトウェアのアップデートが主要な対策となります。
一時的な緩和策
本脆弱性に対する既知の一時的な緩和策は報告されていません。速やかなアップデートが推奨されます。
確認方法
現在利用しているFleetのバージョンを確認し、それが4.80.1未満である場合は、本脆弱性の影響を受ける可能性があります。
参考情報
詳細については、以下の情報を参照してください。