MEDIUMCVE-2022-39004

MPTCPモジュールにメモリリークの脆弱性があります。この脆弱性の悪用により、メモリリークが発生する可能性があります。

プラットフォーム

android

コンポーネント

mptcp

修正版

2.0.1

2.1.1

12.0.1

11.0.2

11.0.1

4.0.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2022-39004は、AndroidのMPTCP（Multipath TCP）モジュールに存在するメモリリークの脆弱性です。この脆弱性は、MPTCP接続の処理中にメモリが適切に解放されない場合に発生し、継続的な悪用によりシステムリソースを枯渇させる可能性があります。影響を受けるバージョンはAndroid 2.0から12.0.0までの範囲です。最新のセキュリティパッチを適用することで、この脆弱性を軽減できます。

影響と攻撃シナリオ

この脆弱性が悪用されると、攻撃者はMPTCP接続を繰り返し確立・切断することで、システムメモリを徐々に消費し続けることができます。メモリの消費が一定の閾値を超えると、システムは不安定になり、アプリケーションのクラッシュや、最悪の場合、システム全体のサービス拒否（DoS）を引き起こす可能性があります。特に、MPTCP接続を頻繁に利用するアプリケーションやサービスが実行されている環境では、影響が大きくなる可能性があります。メモリリークは、システムパフォーマンスの低下や、他のプロセスが利用できるメモリリソースの減少にもつながります。

悪用の状況

CVE-2022-39004は、公開されており、攻撃者による悪用が懸念されます。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、メモリリークの脆弱性は、比較的容易に悪用できる可能性があるため、注意が必要です。CISAのKEVリストへの登録状況は不明です。NVD（National Vulnerability Database）は、2022年9月16日にこの脆弱性を公開しました。

リスク対象者翻訳中…

Devices running Android versions 2.0 through 12.0.0 are at risk. This includes a wide range of smartphones, tablets, and embedded systems. Users who frequently use applications that rely on MPTCP connections, such as those involving multiple network interfaces, are potentially more vulnerable.

検出手順翻訳中…

• android / system: Monitor system memory usage using Android Debug Bridge (ADB) commands like adb shell dumpsys meminfo. Look for steadily increasing memory consumption by the mpd process.

adb shell dumpsys meminfo | grep mpd

• android / system: Check system logs (logcat) for out-of-memory errors or crashes related to the MPTCP module.

adb logcat | grep -i "mp tcp" | grep -i "out of memory"

• android / system: Use Android Studio's memory profiler to identify memory leaks within the MPTCP module during application testing.

攻撃タイムライン

2022-09-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.19% (41% パーセンタイル)

影響を受けるソフトウェア

コンポーネントmptcp

ベンダーHuawei

影響範囲修正版

2.0 – 2.02.0.1

2.1 – 2.12.1.1

12.0.0 – 12.0.012.0.1

11.0.1 – 11.0.111.0.2

11.0.0 – 11.0.011.0.1

4.0.0 – 4.0.04.0.1

タイムライン

予約済み2022-08-29
公開日2022-09-16
更新日2024-08-03
EPSS 更新日2026-04-02

未パッチ — 公開から1346日経過

緩和策と回避策

この脆弱性への主な対策は、Androidのバージョンを最新にアップデートすることです。Googleは、脆弱性を修正したセキュリティパッチをリリースしており、デバイスメーカーはこれらのパッチを迅速にデバイスに適用する必要があります。アップデートがすぐに利用できない場合は、MPTCP接続の使用を制限するか、MPTCP関連のアプリケーションの利用を一時的に停止することを検討してください。また、WAF（Web Application Firewall）やIDS（Intrusion Detection System）などのセキュリティ対策を導入し、異常なMPTCP接続のパターンを監視することも有効です。

修正方法

MPTCPモジュールのメモリリーク脆弱性が修正されたHarmonyOSのバージョンにアップデートしてください。修正されたバージョンについては、Huaweiのセキュリティアドバイザリを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2022-39004 — メモリリーク in Android MPTCPモジュールとは何ですか？

CVE-2022-39004は、AndroidのMPTCPモジュールにおけるメモリリークの脆弱性であり、悪用されるとシステムリソースを枯渇させ、サービス拒否につながる可能性があります。

CVE-2022-39004 in Android MPTCPモジュールに影響を受けますか？

Android 2.0から12.0.0までのバージョンを実行しているデバイスは影響を受けます。最新バージョンへのアップデートを推奨します。

CVE-2022-39004 in Android MPTCPモジュールを修正するにはどうすればよいですか？

Androidのバージョンを最新にアップデートしてください。デバイスメーカーが提供するセキュリティパッチを適用することが重要です。

CVE-2022-39004は積極的に悪用されていますか？

現時点では具体的な悪用事例は報告されていませんが、メモリリークの脆弱性は比較的容易に悪用できる可能性があるため、注意が必要です。

CVE-2022-39004に関するAndroid公式のアドバイザリはどこで入手できますか？

Googleのセキュリティアドバイザリページで確認できます。https://source.android.com/security/bulletin