重大なFileZen OSコマンドインジェクション脆弱性（CVE-2026-25108）が積極的に悪用される

CISAがFileZenの重大な脆弱性の積極的悪用を警告

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、FileZenのセキュアファイル転送アプライアンスに存在する深刻なオペレーティングシステム（OS）コマンドインジェクション脆弱性CVE-2026-25108の積極的な悪用を確認しました。この脆弱性は、CISAの既知の悪用された脆弱性（KEV）カタログに火曜日付で追加され、影響を受ける製品を使用している組織に対する差し迫った脅威を示しています。

技術的詳細

• CVE ID: CVE-2026-25108
• CVSS v4スコア: 8.7（高危険度）
• 脆弱性タイプ: OSコマンドインジェクション
• 攻撃ベクトル: 認証済みユーザーによる悪用
• 影響: 脅威アクターが基盤となるOS上で任意のコマンドを権限昇格して実行可能

この脆弱性は、FileZenのウェブインターフェースにおける不適切な入力検証に起因し、認証済みの攻撃者が悪意のあるOSコマンドを注入できるようになります。悪用方法の詳細は公表されていませんが、KEVカタログへの掲載は、攻撃者が実際にこの脆弱性を悪用していることを示唆しています。

影響分析

Soliton Systemsが開発したFileZenは、機密データの取り扱いを含むセキュアなファイル転送のために、企業環境で広く導入されています。CVE-2026-25108の悪用に成功すると、以下のリスクが生じます：

• 不正なシステムアクセス: 攻撃者がFileZenアプライアンスを制御
• ラテラルムーブメント: 他の重要なネットワークセグメントへの侵入
• データ流出: FileZenを介して保存・転送される機密ファイルの窃取
• ランサムウェアの展開: ファイルの暗号化やファイル転送操作の妨害

機密データを取り扱うアプライアンスであることから、金融、医療、政府などの分野に属する組織は特に高いリスクにさらされています。

推奨対策

CISAは、Binding Operational Directive (BOD) 22-01に基づき、連邦民間機関に対して2026年3月4日までにCVE-2026-25108を修正するよう義務付けています。公共・民間を問わず、すべての組織は以下の対策を講じることが推奨されます：

1. 至急パッチを適用: Soliton Systemsが提供する最新バージョンにFileZenを更新。
2. 脆弱なアプライアンスを隔離: パッチ適用までFileZenインスタンスへのネットワークアクセスを制限。
3. 不審な活動を監視: 不正なコマンド実行や異常なファイル転送のログを確認。
4. 代替的な制御を実施: ネットワークセグメンテーションや侵入検知システム（IDS）を導入し、リスクを軽減。
5. バックアップを検証: ランサムウェア攻撃からの復旧に備え、重要データの安全なオフラインバックアップを確保。

詳細なガイダンスについては、CISAのKEVカタログエントリおよびSoliton Systemsのセキュリティアドバイザリ（公開されている場合）を参照してください。

注: 本記事は、新たな技術的詳細が明らかになり次第、更新されます。