サイバーセキュリティ研究者は、低コストのIP KVM（Keyboard, Video, Mouse over Internet Protocol）デバイスがもたらすリスクについて警告しており、これらのデバイスは攻撃者に侵害されたホストに対する広範な制御権を付与する可能性があります。 **Eclypsium**によって発見された9つの脆弱性は、**GL-iNet** Comet RM-1、Angeet/Yeeso ES3 KVM、Sipeed NanoKVM、JetKVMの4つの異なる製品にまたがっています。これらの脆弱性のうち最も深刻なものは、認証されていない攻撃者がrootアクセス権を取得したり、悪意のあるコードを実行したりすることを可能にします。 「共通するテーマは決定的です。ファームウェア署名検証の欠如、ブルートフォース攻撃からの保護がないこと、アクセス制御の不備、そして露出したデバッグインターフェースです」と、研究者のPaul Asadoorian氏とReynaldo Vasquez Garcia氏は分析で[述べています](https://eclypsium.com/blog/your-kvm-is-the-weak-link-how-30-dollar-devices-can-own-your-entire-network/)。 ### リモート乗っ取りのリスク IP KVMデバイスは、BIOS/UEFIレベルでターゲットマシンのキーボード、ビデオ出力、マウス入力をリモートでアクセスできるようにします。これらの製品の脆弱性を悪用すると、システムが乗っ取りのリスクにさらされ、既存のセキュリティ制御が損なわれる可能性があります。特定された不備の内訳は以下の通りです。 * **CVE-2026-32290** (CVSSスコア: 4.2) - **GL-iNet** Comet KVMにおけるファームウェア真正性検証の不備 (修正計画中) * **CVE-2026-32291** (CVSSスコア: 7.6) - **GL-iNet** Comet KVMにおけるUART (Universal Asynchronous Receiver-Transmitter) rootアクセス脆弱性 (修正計画中) * **CVE-2026-32292** (CVSSスコア: 5.3) - **GL-iNet** Comet KVMにおけるブルートフォース保護の不備 (バージョン 1.8.1 BETAで修正済み) * **CVE-2026-32293** (CVSSスコア: 3.1) - **GL-iNet** Comet KVMにおける認証なしのクラウド接続を介した安全でない初期プロビジョニングの脆弱性 (バージョン 1.8.1 BETAで修正済み) * **CVE-2026-32294** (CVSSスコア: 6.7) - JetKVMにおけるアップデート検証の不備 (バージョン 0.5.4で修正済み) * **CVE-2026-32295** (CVSSスコア: 7.3) - JetKVMにおけるレート制限の不備 (バージョン 0.5.4で修正済み) * **CVE-2026-32296** (CVSSスコア: 5.4) - Sipeed NanoKVMにおける設定エンドポイントの露出脆弱性 (NanoKVMバージョン 2.3.1およびNanoKVM Proバージョン 1.2.4で修正済み) * **CVE-2026-32297** (CVSSスコア: 9.8) - Angeet ES3 KVMにおける重要な機能への認証欠如による任意のコード実行の脆弱性 (修正なし) * **CVE-2026-32298** (CVSSスコア: 8.8) - Angeet ES3 KVMにおけるOSコマンドインジェクションによる任意のコマンド実行の脆弱性 (修正なし) ### 基本的なセキュリティ上の欠陥 「これらは、数ヶ月にわたるリバースエンジニアリングを必要とするような、エキゾチックなzero-dayではありません」と研究者たちは指摘しています。「これらは、ネットワーク化されたあらゆるデバイスが実装すべき基本的なセキュリティ制御です。入力検証。認証。暗号検証。レート制限。私たちは、10年前に初期のIoTデバイスを悩ませたのと同じクラスの障害を見ていますが、今度はそれが接続するすべてへの物理的なアクセスと同等の機能を提供するデバイスクラスで発生しています。」 攻撃者はこれらの問題を悪用して、キー入力を注入したり、リムーバブルメディアからブートしてディスク暗号化やSecure Boot保護を回避したり、ロック画面を迂回してシステムにアクセスしたり、さらに重要なことに、OSレベルでインストールされたセキュリティソフトウェアに検出されずに潜伏したりすることができます。 ### 事前の警告と北朝鮮による悪用 IP KVMデバイスの脆弱性が開示されたのは今回が初めてではありません。2025年7月、ロシアのサイバーセキュリティベンダーである**Positive Technologies**は、**ATEN International**スイッチの5つの脆弱性（**CVE-2025-3710**、**CVE-2025-3711**、**CVE-2025-3712**、**CVE-2025-3713**、および**CVE-2025-3714**）を[指摘しました](https://global.ptsecurity.com/en/about/news/vulnerabilities-in-aten-international-switches-patched-with-the-assistance-of-pt-experts/)。これらの脆弱性は、サービス拒否やリモートコード実行につながる可能性があります。 さらに、PiKVMやTinyPilotのようなIP KVMスイッチは、中国などの国に居住する北朝鮮のIT労働者によって、ラップトップファームにホストされている企業発行のラップトップにリモート接続するために[使用されてきました](https://thehackernews.com/2025/07/us-arrests-key-facilitator-in-north.html)。 ### 緩和策 これらのリスクを軽減するために、以下の対策が推奨されます。 * サポートされている場合は、多要素認証（MFA）を強制する。 * KVMデバイスを専用の管理VLANに分離する。 * インターネットアクセスを制限する。 * Shodanなどのツールを使用して外部への露出を確認する。 * デバイスとの間で予期しないネットワークトラフィックを監視する。 * ファームウェアを最新の状態に保つ。 **Eclypsium**は、侵害されたKVMデバイスの深刻さを強調しています。「侵害されたKVMは、ネットワーク上に存在する侵害されたIoTデバイスとは異なります。それは、それが制御するすべてのマシンへの直接的かつ静かなチャネルです」と彼らは述べています。「KVMを侵害した攻撃者は、デバイス自体にツールやbackdoorを隠し、修復後もホストシステムを継続的に再感染させることができます。」 「これらのデバイスのほとんどでは、一部のファームウェアアップデートに署名検証が欠けているため、サプライチェーン攻撃者は配布時にファームウェアを改ざんし、それを無期限に持続させることができます。」