NV Access は2025年2月27日のブログ記事で、NVDA 2025.1 の開発進捗を報告しています。その中で、NVDA Remote アドオンの機能を NVDA 本体に統合する計画を進めていると述べています。
NVDA Remote は、いわゆる「リモート接続」機能を提供します。NVDA が動作しているPCを、他のNVDAが動作しているPCから操作できます。一般的なリモートデスクトップとは異なり、キーボード操作だけを送信し、音声や点字の出力だけを受信するため、スクリーンリーダー操作に特化しています。
この接続方式は、使用するアプリがスクリーンリーダーでアクセシブルであることを前提にしていますが、非常に効率的です。視覚障害者への遠隔サポートや就労など、様々な場面で活用されています。
開発の歴史と現状の課題
NVDA Remote は約10年前にクラウドファンディングを通じて開発されました。Indiegogoで行われたプロジェクトには、私 (nishimotz) も寄付や翻訳などで協力しました。当時は、こんなことができるのか、という驚きをもってユーザーに受け入れられました。
一方で、開発から時間が経過し、このような有用なアドオンがもっと開発しやすくなるように NVDA の内部構造が整備されました。NVDA のバージョンアップによって互換性が失われることもしばしばあり、これが NV Access が NVDA 本体への統合を決断した主な背景と考えられます。
脆弱性の報告
最近報告された脆弱性(CVE-2025-26326)は、NVDA Remote アドオンのセキュリティの問題の指摘です。
セキュリティ分野ではよく知られた情報源に NVDA の問題が指摘されることは異例ですが、アドオンではなく NVDA の具体的なバージョンだけが示されており、内容の正確性などを慎重に受け止める必要があります。
またこの報告が NVDA のセキュリティ問題のポリシーに従って行われていないことが NV Access 関係者から指摘されています。
このような状況を踏まえて、ここでは詳細には言及せず、一般的な注意喚起をします。
Remote では、ネットワークのホスト名またはIPアドレスと、ポート番号を指定し、さらにパスワード(鍵)が必要です。
短いパスワードや推測しやすいパスワードを使用すると、攻撃者に不正アクセスされやすくなります。
Remote はピアツーピア接続とリレーサーバー接続の両方の方法で利用できます。リレー(中継)サーバーは自分で構築することもできますが、公開されて個人ユーザーに広く使われているものがあります。リレーサーバー接続では不正アクセスに加えて盗聴のリスクも高まります。
影響を受けるアドオン
NVDA (本家版および日本語版)ユーザーは、アドオンストアから remote (アドオンID)で検索することで、このアドオンを見つけることができます。日本語の環境では、このアドオンは「リモート」というカタカナ名で表示されています。
また、「Tele NVDA remote assistance」(アドオンストア TeleNVDA)も NVDA Remote の派生版として知られています。
それぞれの開発者のサイトからダウンロードしてインストールすることもできます。
展望
NV Access は NVDA 2025.1 でリモート機能を導入するにあたって、指摘されているセキュリティ問題に対処すると考えられます。
推奨する対策
ユーザーの皆様には、以下の対策を推奨します:
- NVDA やアドオンのアップデートを定期的に確認し、速やかに適用する
- 安全なネットワーク環境に限定してリモート機能を使う。安全でないネットワークやサーバー経由で使う場合のリスクを理解する
- 不要な場合はリモート機能のアドオンの無効化や削除を行う
企業・組織における対策
企業・組織における推奨対策としては、以下が挙げられます:
- パスワードの強化:文字数の多いパスワードを設定し、短い単純なパスワードを使用しない。
- 安全な接続だけを許可:公開ネットワーク上で直接接続せず、VPNを通じて安全な経路を確保する。またはリレーサーバーとの接続を適切な証明書や秘密鍵で暗号化する。
- アドオンの利用制限:NVDA の法人向けインストールオプションを利用し、リモート接続アドオンの利用を制限する。
- 多層防御:PCやネットワークのセキュリティ機能を活用した多層防御を行い、適切な監視を行う。