Hikvisionアクセス制御製品に重要な脆弱性 悪用ハードルが低いため注意：セキュリティニュースアラート

Hikvisionは監視機器やアクセス制御製品の探索機能に2件の脆弱性があると発表した。同一LAN内から細工されたパケットによって機器が誤動作する恐れがある。

[ITmedia エンタープライズ編集部]

　中国の監視カメラ・セキュリティ機器メーカーHangzhou Hikvision Digital Technology（以下、Hikvision）は2026年1月12日（現地時間）、同社製品の一部にバッファーオーバーフローの脆弱（ぜいじゃく）性が存在すると公表した。

　対象は顔認識端末やビジター（来訪者）管理用端末、デジタルビデオレコーダーを含めた監視関連機器の一部で、いずれもネットワークの機器探索や検出に使われる「Search and Discovery」機能に起因する問題とされる。

複数端末に見つかった2件の重要な脆弱性　悪用ハードル低いため注意

　Search and Discovery機能はネットワークで機器を検出する目的で広く使われる機能であり、管理の利便性を高める役割を担う。一方で実装に不備があった場合、同一LAN内からの攻撃が可能になるという。

　公表された脆弱性は2件で、CVE-2025-66176やCVE-2025-66177が割り当てられている。CVE-2025-66176はHikvisionのアクセス制御シリーズ製品の一部に存在するスタックオーバーフローの問題と説明している。未修正の機器に対し、同一LAN内から細工したパケットが送信された場合、機器が正常に動作しなくなる恐れがある。

　CVE-2025-66177はNVR、DVR、CVR、IPCといった監視関連製品シリーズの一部が対象で、同様にSearch and Discovery機能におけるスタックオーバーフローにより、LAN内の攻撃者が機器の誤動作を引き起こす可能性がある。

　これら2件の脆弱性についてHikvisionは共通脆弱性評価システム（CVSS）v3.1のスコアを8.8、深刻度「重要」（High）と評価している。影響を受ける製品について、Hikvisionは公式Webサイトで、対象となる製品名をまとめたPDFファイルを公開している。利用者はそれを参照し、自身が運用している機器が対象に含まれるかどうか、また修正が必要なバージョンであるかを確認する必要がある。

　修正については、Hikvisionの公式Webサイトからパッチや更新ファームウェアを入手できる。未修正の状態においては、同一LAN内に接続された第三者からの通信により機器の動作不良が発生する可能性があるため、管理者は更新状況を確認し、必要な対策を講じることが求められる。

　本件はLAN内にアクセスできる環境が前提となるが、攻撃に必要な条件が比較的少なく、実行のハードルが低い点が特徴だ。Hikvisionは利用者に対し、公式情報を参照した上で該当製品の有無を確認し、提供されている修正プログラムの適用を検討するよう案内している。