Last Updated on 2025-05-06 12:23 by admin

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Commvault Command Centerに影響を与える最大深刻度のセキュリティ脆弱性（CVE-2025-34028）を、公開から1週間強で既知の悪用される脆弱性（KEV）カタログに追加した。

この脆弱性はCVSSスコア10.0の最大深刻度を持つパストラバーサルのバグで、バージョン11.38.0から11.38.19までの11.38 Innovation Releaseに影響する。この問題は2025年4月10日にリリースされたバージョン11.38.20と11.38.25で修正された。

サイバーセキュリティ企業watchTowr Labsの研究者Sonny Macdonaldが2025年4月7日にこの脆弱性を発見・報告した。問題は「deployWebpackage.do」と呼ばれるエンドポイントにあり、認証前のサーバーサイドリクエストフォージェリ（SSRF）が発生する。攻撃者は悪意のある.JSPファイルを含むZIPアーカイブファイルをアップロードすることで、認証なしにリモートからコード実行が可能となる。

Commvaultは2025年4月17日にセキュリティアドバイザリを公開し、この脆弱性が少数の顧客に影響したことを明らかにしたが、顧客のバックアップデータへの不正アクセスはなかったと述べている。

CISAはCVE-2025-34028の積極的な悪用を受けて、連邦民間行政部門（FCEB）の機関に対し、2025年5月23日までに必要なパッチを適用するよう求めている。

from:Commvault CVE-2025-34028 Added to CISA KEV After Active Exploitation Confirmed

【編集部解説】

今回報告されたCommvault Command Centerの脆弱性（CVE-2025-34028）は、セキュリティ評価で最高スコアの「10.0」を記録した極めて深刻な問題です。この脆弱性の特に懸念すべき点は、認証不要でリモートから悪用可能という点にあります。

パストラバーサル攻撃とは、本来アクセスできないはずのディレクトリやファイルに不正にアクセスする手法です。今回の場合、攻撃者は悪意のあるJSPファイルを含むZIPアーカイブをアップロードし、それがサーバー上で解凍・実行されることで、システムを完全に制御できる可能性があります。

watchTowr Labsの研究者Sonny Macdonaldが2025年4月7日に発見したこの脆弱性は、4月24日に技術的詳細と実証コード（PoC）が公開されました。これにより攻撃のハードルが大幅に下がり、悪用リスクが急速に高まっています。

注目すべきは、これがCommvaultの脆弱性としては短期間で2番目に実際の攻撃で悪用されているという点です。先に報告されたCVE-2025-3928と合わせて考えると、バックアップシステムが標的となる傾向が強まっていることがわかります。

バックアップシステムが攻撃対象となる理由は明確です。ランサムウェア攻撃者にとって、被害組織のバックアップを無効化できれば、身代金支払いを強制しやすくなるためです。Commvaultのようなエンタープライズバックアップソリューションは、多くの大企業や政府機関で利用されており、その脆弱性は広範な影響をもたらす可能性があります。

CISAがこの脆弱性をKEVカタログに追加した事実から、何らかの実際の悪用が確認されていると考えられます。ただし、具体的な攻撃の詳細や規模については、現時点では限定的な情報しか公開されていません。

対策としては、影響を受けるバージョン（11.38.0〜11.38.19）を使用している場合、直ちに修正バージョン（11.38.20以降）へのアップデートが必要です。また、Commvault Command Centerをインターネットに直接公開している場合は、内部ネットワークからのみアクセス可能な構成に変更することも推奨されています。

この事例は、セキュリティアップデートの迅速な適用がいかに重要かを改めて示しています。特にデータバックアップという「最後の砦」を担うシステムでは、脆弱性対応の遅れが取り返しのつかない結果を招く可能性があることを認識すべきでしょう。

【用語解説】

Commvault（コムボールト）：
データバックアップ、リカバリ、クラウドストレージなどのソリューションを提供する米国企業。エンタープライズ向けデータ管理の大手ベンダーで、世界中の多くの大企業や政府機関で利用されている。

Command Center：
Commvaultの主要製品の一つで、Webベースのユーザーインターフェース。企業のデータ保護、バックアップ、リカバリタスクを管理するためのダッシュボード。

CISA：
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁の略称。重要インフラのサイバーセキュリティを担当する米国連邦政府機関。なお、同じCISAという略称で「公認情報システム監査人（Certified Information Systems Auditor）」という資格も存在するが、今回の記事とは無関係である。

パストラバーサル攻撃：
Webアプリケーションの脆弱性を悪用して、本来アクセスできないはずのファイルやディレクトリに不正にアクセスする攻撃手法。「../」などの特殊文字列を使って上位ディレクトリに移動し、重要なシステムファイルや設定ファイルにアクセスする。

SSRF（サーバーサイドリクエストフォージェリ）：
攻撃者が悪意のあるリクエストを作成し、脆弱なWebアプリケーションを介して、サーバー側で意図しないリクエストを実行させる攻撃手法。内部ネットワークへの不正アクセスや機密情報の漏洩につながる可能性がある。

KEV（Known Exploited Vulnerabilities）カタログ：
CISAが維持管理する、実際に悪用されていることが確認されている脆弱性のリスト。このカタログに掲載されると、米国連邦政府機関は指定された期限内に対応することが義務付けられる。

【参考リンク】

Commvault公式サイト（外部）
Commvaultのサイバーレジリエンスソリューションを紹介する公式サイト。ランサムウェアなどの脅威からビジネスを守るためのソリューションを提供している。

CISA KEVカタログ（外部）
CISAが公開している既知の悪用される脆弱性（KEV）カタログのページ。最新の脆弱性情報と対応期限が確認できる。

Commvault Security Advisory（外部）
Commvaultが公開した今回の脆弱性に関する公式セキュリティアドバイザリ。影響を受けるバージョンと対応策が詳細に記載されている。

【参考動画】

【編集部後記】

バックアップシステムは、企業のデジタル資産を守る最後の砦です。今回のCommvault製品の脆弱性は、その砦に穴が開いてしまう可能性を示しています。皆さんの組織ではバックアップシステムのセキュリティ対策はどうなっていますか？定期的なアップデートや、アクセス制御の見直しなど、今一度確認してみる良い機会かもしれません。「バックアップがあるから安心」ではなく、「バックアップも守る」という視点が、今後ますます重要になってくるのではないでしょうか。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む