ソリトンシステムズは2026年2月13日、同社のファイル送受信アプライアンス「FileZen」にコマンドインジェクション脆弱性(CVE-2026-25108、CWE-78)が存在することを公表した。対象はFileZen V4.2.1~5.0.10で、物理版・仮想版の両方が該当する。FileZen Sは影響を受けない。CVSS v4.0の基本値は8.7、CVSS v3.0の基本値は8.8である。
本脆弱性はウイルスチェックオプション(BitDefender)が有効かつ、攻撃者がユーザーとしてログオン可能な状態にある場合に成立し、遠隔の第三者が任意のOSコマンドを実行できる可能性がある。すでに悪用による被害報告を1件以上受けている。対処として2026年1月13日リリースのV5.0.11以降へのアップデートが必要であり、旧バージョンでの回避策は存在しない。同社はJPCERT/CCへの届け出も完了している。
From: 
【重要】FileZenログオン後画面でのコマンドインジェクション脆弱性について | サポート | 株式会社ソリトンシステムズ
【編集部解説】
今回の脆弱性が注目に値するのは、FileZenという製品が日本のサイバーセキュリティ史において特異な位置を占めているためです。
FileZenはソリトンシステムズが開発・販売するファイル送受信アプライアンスで、とくに地方自治体や中央省庁での導入実績が豊富な製品です。2021年時点の報道によれば、国内で約1100台が稼働し、その約6割が地方自治体をはじめとする公共系組織で利用されていたとされています。2021年には内閣府のFileZenが不正アクセスを受け、231名分の個人情報が流出した可能性があると発表された経緯もあります。
今回発見されたCVE-2026-25108は、2020年のディレクトリトラバーサル脆弱性(CVE-2020-5639)、2021年のOSコマンドインジェクション脆弱性(CVE-2021-20655)に続く、FileZenとしては3度目の深刻な脆弱性公表となります。とくにCVE-2021-20655と同種のOSコマンドインジェクションが再び発見された形です。過去の脆弱性はシステム管理者権限でのログオンが悪用の前提でしたが、今回は一般ユーザー権限で足りるという点で攻撃のハードルが下がっています。
JPCERT/CCは2026年2月13日付の注意喚起で、パッチ公開後の2月時点でも脆弱性の影響を受ける製品が国内で稼働していることを確認していると述べています。また、FileZen V4.x系についてはすでにファームウェア提供が終了しており、V5.0.11へのアップデートが必須となっています。つまりV4.x系を利用している組織は、単なるパッチ適用ではなくメジャーバージョンの移行を迫られることになります。
さらに注意すべきは、本脆弱性が悪用された痕跡を確認する明示的な機能が存在しない点です。ファイル監視機能によるログの間接的な確認は可能とされていますが、侵害の有無を断定することは難しく、インシデントレスポンスの観点で困難を伴う可能性があります。
グローバルな視点では、ファイル転送製品が攻撃者にとって格好の標的となる傾向が年々強まっています。2020年から2021年にかけてはAccellion FTAが、2023年にはFortraのGoAnywhere MFTとProgress SoftwareのMOVEit Transferが、いずれもゼロデイ攻撃を受けました。とくにMOVEit Transferの事案では、Cl0pランサムウェアグループによる攻撃で2700以上の組織が影響を受け、約9330万人の個人データが流出したとされています。こうした一連の事例は、ファイル転送システムが機密情報の集積点となっている構造的な脆弱性を浮き彫りにしています。
FileZenの新規販売は2023年3月に終了し、後継製品のFileZen Sへの移行が進められています。ソリトンシステムズによれば、FileZen Sは今回の脆弱性の影響を受けません。今後は、旧製品をどれだけ速やかに更新・移行できるかが、とくに公共セクターにおけるセキュリティ態勢を左右することになりそうです。
【用語解説】
コマンドインジェクション(CWE-78)
外部からの入力値がOSコマンドとしてそのまま実行されてしまう脆弱性の一種。攻撃者はサーバー上で任意の操作を実行できるため、情報窃取やシステム破壊につながる危険性が高い。
ディレクトリトラバーサル
本来アクセスが許可されていないディレクトリやファイルに対し、パスの操作によって不正にアクセスする攻撃手法。2020年に公表されたFileZenのCVE-2020-5639がこれに該当する。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0~10.0の数値で評価する国際的な共通指標。今回のCVE-2026-25108はv4.0で8.7、v3.0で8.8と評価されており、いずれも「High(重要)」に分類される。
CVE(Common Vulnerabilities and Exposures)
米MITRE社が管理する脆弱性の国際的な識別番号体系。個々の脆弱性に一意のIDを割り当てることで、世界中の組織間で情報を正確に共有できる仕組みである。
ファイル送受信アプライアンス
ファイルの送信・受信機能に特化した専用ハードウェア。ソフトウェアのインストールが不要で、ネットワークに接続して設定するだけで利用を開始できる。FileZenはこの形態の代表的な製品である。
ゼロデイ攻撃
ソフトウェアの脆弱性が公表される前、またはパッチが提供される前に、その脆弱性を悪用する攻撃手法。防御側が対策を講じる猶予がないため、被害が拡大しやすい。
【参考リンク】
ソリトンシステムズ FileZen S 製品ページ(公式)(外部)
FileZenの後継製品の公式ページ。ネットワーク分離環境でのファイル受け渡しに特化し、無害化連携機能も搭載している。
JPCERT/CC(JPCERTコーディネーションセンター)公式サイト(外部)
日本のセキュリティインシデント対応の中核機関。脆弱性情報の収集・公開や注意喚起、インシデント対応の調整を担う。
JVN(Japan Vulnerability Notes)(外部)
JPCERT/CCとIPAが共同運営する脆弱性対策情報ポータル。国内外の脆弱性に関する技術的な詳細と対策情報を日本語で提供。
【参考記事】
内閣府のFileZenへの不正アクセスについてまとめてみた(piyolog)(外部)
2021年の内閣府FileZen不正アクセス事案の詳細まとめ。国内約1100台の稼働状況や231名の情報流出可能性を整理。
#StopRansomware: CL0P Ransomware Gang Exploits MOVEit Vulnerability(CISA)(外部)
米CISAとFBIによるCl0pのMOVEit悪用に関する共同アドバイザリ。Accellion FTAやGoAnywhere MFTへの攻撃も記述。
FileZenにおけるOSコマンドインジェクションの脆弱性(CVE-2026-25108)に関する注意喚起(JPCERT/CC)(外部)
JPCERT/CCによる今回の脆弱性の公式注意喚起。パッチ公開後も脆弱な製品が国内で稼働している状況を指摘。
ファイル転送製品「FileZen」にRCE脆弱性 – すでに悪用被害も(Security NEXT)(外部)
CVE-2026-25108に関する国内セキュリティメディアの報道。脆弱性の技術概要やCVSSスコア、悪用状況を簡潔に整理。
【重要】FileZen設定内容確認のお願い(ソリトンシステムズ)(外部)
2021年のCVE-2021-20655に関する公式アドバイザリ。管理者権限でのOSコマンドインジェクション脆弱性の詳細を記載。
【編集部後記】
ファイル転送製品の脆弱性が繰り返し狙われる現状を見ると、「データの受け渡し」という日常的な業務の裏側にあるリスクについて、改めて考えさせられます。皆さんの組織では、ファイルのやり取りにどのような仕組みを使っていますか? その製品のアップデート状況や、サポート期限を最後に確認したのはいつでしょうか。
こうしたニュースをきっかけに、一度棚卸ししてみるのもよいかもしれません。
