9月に発見されたECサイトプラットフォームの脆弱性が、今、世界中で現実の脅威となっています。当初は「理論上の危険」に過ぎなかったこの欠陥「SessionReaper」は、10月下旬、攻撃コードの一般公開をきっかけに、サイバー犯罪者による大規模攻撃へと発展しました。わずか24時間で250以上のオンラインストアが侵害され、その数は今も増え続けています。なぜこのタイミングで脅威が深刻化したのか、そして私たちのオンラインショッピングにどのような危険が迫っているのかを解説します。
2025年9月初旬、セキュリティ研究者がオープンソースeコマースプラットフォームMagentoとその商用版Adobe Commerceに深刻な脆弱性「SessionReaper」(CVE-2025-54236)を発見した。
この脆弱性はリモートコード実行が可能で、攻撃者はパスワードなしで顧客セッションを乗っ取り、場合によってはサーバー全体を制御できる。不適切な入力検証とシリアル化データの安全でない取り扱いが原因だ。
SecPodの研究者は、セキュリティ機能のバイパス、アカウント乗っ取り、データ盗難、不正注文、リモートコード実行などの被害を警告している。パッチは9月9日にリリースされたが、6週間後の時点でMagentoストアの約62%がパッチ未適用のままである。
概念実証コードの公開後、サイバー犯罪者は動作するエクスプロイトを構築し、攻撃が急速に拡大している。Sansecの研究者によると、エクスプロイトコード公開から24時間以内に250以上のMagentoストアが攻撃試行を観測した。
From: 
Thousands of online stores at risk as SessionReaper attacks spread
【編集部解説】
この脆弱性が発見されたのは2025年9月初旬で、Adobeは9月9日に緊急パッチをリリースしています。しかし、パッチ公開前の週に脆弱性情報が偶然流出してしまい、攻撃者に先行してエクスプロイト開発の時間を与えてしまった経緯があります。
SessionReaperの深刻さは、CVSSスコア9.1という評価が示す通りです。攻撃者は認証なしで顧客アカウントを乗っ取ることができ、ファイルベースのセッションストレージを使用している環境ではリモートコード実行まで到達する可能性があります。Commerce REST APIにおけるシリアル化データの不適切な処理が根本原因で、前年に発覚したCosmicSting攻撃と類似したパターンを持っているとSansecは指摘しています。
現在の被害状況を見ると、概念実証コードの公開直後の24時間で250以上の攻撃試行が確認されており、34.227.25.4、44.212.43.34、54.205.171.35、155.117.84.134、159.89.12.166という5つの特定IPアドレスからの集中攻撃が観測されています。攻撃者はPHPウェブシェルを展開し、システム情報を収集するphpinfo.phpプローブを使用して、さらなる攻撃の足がかりを築いています。
特に懸念されるのは、パッチ適用率の低さです。Sansecの調査では、パッチ公開から6週間が経過した時点で、オンラインで稼働しているMagentoストアの約62%がパッチ未適用のまま、依然として脆弱な状態であることが明らかになりました。Magentoは推定で13万以上のWebサイトで稼働しているとされており、大多数のストアが依然として脆弱な状態にあることを意味します。
この脆弱性は、Magentoの歴史において最も深刻なものの一つと評価されています。2015年のShoplift、2019年のAmbionics SQLi、2022年のTrojanOrder、2024年のCosmicStingに匹敵する重大性を持ち、e-コマース業界全体に影響を及ぼす可能性があるでしょう。
攻撃が成功すると、顧客の個人情報、注文履歴、支払い情報が窃取され、Magecartのようなカード情報窃取型マルウェアの展開につながる恐れがあります。過去の事例では、こうした攻撃は数時間以内に大規模な自動化攻撃へと発展しており、今回も同様のパターンが予想されます。
消費者側の対策としては、サードパーティ決済ゲートウェイの使用が有効です。PayPalなどの外部決済サービスはストアのサーバーから隔離されているため、ストア側が侵害されても決済情報は保護されます。しかし、最も重要なのはストア運営者側の迅速なパッチ適用であり、エコシステム全体のセキュリティ意識向上が求められています。
【用語解説】
CVE-2025-54236
Common Vulnerabilities and Exposuresの略で、脆弱性を一意に識別するための番号体系である。CVE-2025-54236はSessionReaperの正式な識別番号で、2025年に登録された脆弱性を示す。
CVSS
Common Vulnerability Scoring Systemの略で、脆弱性の深刻度を0から10のスケールで評価する業界標準の指標である。SessionReaperは9.1という非常に高いスコアを記録している。
シリアル化データ
オブジェクトやデータ構造を保存や送信が可能な形式に変換するプロセスである。不適切な処理は深刻なセキュリティ上の欠陥につながる。
セッションハイジャック
攻撃者が正規ユーザーのセッション情報を盗み、そのユーザーになりすましてシステムにアクセスする攻撃手法である。
概念実証(PoC)
Proof of Conceptの略で、脆弱性が実際に悪用可能であることを実証するためのサンプルコードやデモンストレーションである。
PHPウェブシェル
攻撃者がWebサーバー上にアップロードする悪意のあるPHPスクリプトで、リモートからサーバーを操作するためのバックドアとして機能する。
Magecart
オンラインショッピングサイトに侵入し、チェックアウトプロセスで顧客のクレジットカード情報を盗み取るサイバー犯罪グループおよびその攻撃手法の総称である。
CosmicSting
2024年7月に発見されたMagentoの重大な脆弱性(CVE-2024-34102)で、CVSSスコア9.8を記録した。SessionReaperと同様のシリアル化の欠陥を持つ。
【参考リンク】
Adobe Commerce公式サイト(外部)
Adobeが提供するエンタープライズ向けeコマースソリューション。グローバルなB2CおよびB2Bエクスペリエンスの構築を支援する。
Magento Open Source(外部)
中小企業向けの無料で柔軟なeコマースプラットフォーム。オープンソースとして提供され、世界中で広く使用されている。
Sansec公式サイト(外部)
eコマースセキュリティの世界的リーダー。マルウェアと脆弱性の検出に特化し、世界中のeコマース攻撃を監視している。
Adobe Security Bulletin APSB25-88(外部)
CVE-2025-54236に関するAdobeの公式セキュリティ情報。影響を受けるバージョンとパッチ適用方法が記載されている。
NVD – CVE-2025-54236詳細(外部)
米国国立標準技術研究所が運営する脆弱性データベース。SessionReaperの技術的な分析と影響範囲が記録されている。
【参考記事】
Over 250 Magento Stores Hit Overnight as Hackers Exploit SessionReaper Vulnerability(外部)
The Hacker Newsによる報道。Sansecがエクスプロイトコード公開後24時間で250以上の攻撃試行を記録したことを報告している。
Critical Adobe Commerce, Magento vulnerability under attack (CVE-2025-54236)(外部)
Help Net Securityの記事。38%のオンラインMagentoストアのみがパッチ適用済みであることが報告されている。
SessionReaper (CVE-2025-54236) – Active Exploitation of Critical Adobe Magento Vulnerability(外部)
Rescanaによる分析記事。脆弱性情報が偶然流出した経緯と、Magecart関連インフラが使用されていることを報告している。
Why nested deserialization is STILL harmful – Magento RCE (CVE-2025-54236)(外部)
Assetnoteのセキュリティ研究者による技術的深堀記事。Magentoが推定で13万以上のWebサイトで稼働していることを指摘している。
SessionReaper: Account Takeover and Unauthenticated RCE in Magento and Adobe Commerce(外部)
Greenboneによる詳細なリスク評価記事。過去の脆弱性が公開から数時間以内に大規模攻撃に利用されてきた歴史を分析している。
【編集部後記】
オンラインショッピングが生活の一部となった今、私たち消費者はこのような脆弱性からどう身を守れば良いのでしょうか。普段利用しているECサイトがMagentoベースかどうかを知ることは難しく、パッチ適用状況を確認する手段もありません。
だからこそ、サードパーティ決済の選択や、カード明細の定期確認といった「自衛策」の重要性が増しています。皆さんは、オンライン決済時にどのような対策を実践していますか。この記事をきっかけに、ご自身のセキュリティ習慣を見直してみてはいかがでしょうか。
