米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Wing FTPサーバーに存在する情報漏洩の脆弱性「CVE-2025-47813」を、積極的に悪用されている脆弱性(KEV: Known Exploited Vulnerabilities)カタログに追加しました。この脆弱性は、特定の条件下でアプリケーションのインストールパスを漏洩させるもので、攻撃者によって活発に悪用されていることが確認されています。
この警告は、Wing FTPサーバーを利用している組織やシステム管理者にとって、即座の対応が求められる深刻な事態を示しています。情報漏洩は単独でもリスクですが、さらに深刻なリモートコード実行(RCE)の脆弱性「CVE-2025-47812」と組み合わされることで、システム全体が危険に晒される可能性があります。
Wing FTPサーバーとは?その重要性と潜在的リスク
Wing FTPサーバーは、Windows、Linux、macOS、Solarisなど多様なプラットフォームで動作する、高機能なFTP、FTPS、SFTP、HTTP、HTTPSサーバーソフトウェアです。ファイル転送、共有、管理を目的として多くの企業や組織で利用されており、その利便性から広く普及しています。
しかし、ファイル転送プロトコルを扱うサーバーは、外部とのデータ送受信の窓口となるため、セキュリティ上の弱点があれば、攻撃者にとって格好の標的となります。特に、機密性の高いデータを扱う環境では、サーバーの脆弱性は情報漏洩やシステム侵害に直結する重大なリスクとなります。
CVE-2025-47813:情報漏洩のメカニズムと危険性
今回CISAが警告した「CVE-2025-47813」は、CVSSスコア4.3の中程度の深刻度と評価されていますが、その影響は決して軽視できません。この脆弱性は、Wing FTPサーバーが特定の条件下でエラーメッセージを生成する際に、機密情報であるアプリケーションのインストールパスを漏洩させるというものです。
具体的には、ユーザーが「UID」セッションクッキーに非常に長い値を設定した場合、アプリケーションがその値を適切に検証できず、基盤となるオペレーティングシステムの最大パスサイズを超過してしまいます。この結果、エラーメッセージが生成され、その中にサーバーのローカルパス全体が含まれてしまうのです。この脆弱性は、RCE Securityの研究者Julien Ahrens氏によって発見され、GitHubで概念実証(PoC)エクスプロイトが公開されています。
この情報漏洩は、攻撃者がサーバーの内部構造を把握するための重要な手がかりとなります。例えば、アプリケーションが特定のディレクトリにインストールされていることを知れば、そのディレクトリに存在する他の脆弱性や設定ミスを悪用する計画を立てやすくなります。
リモートコード実行(CVE-2025-47812)への足がかり
CVE-2025-47813の真の危険性は、単なる情報漏洩に留まらない点にあります。この脆弱性は、同じ製品に存在する別の深刻な脆弱性「CVE-2025-47812」の悪用を助ける可能性があります。CVE-2025-47812は、CVSSスコア10.0という最高レベルの深刻度を持つリモートコード実行(RCE)の脆弱性であり、攻撃者が遠隔からサーバー上で任意のコードを実行できるという極めて危険なものです。
情報漏洩によってサーバーのパスが明らかになることで、攻撃者はRCE脆弱性を悪用する際に必要な正確なパス情報を得ることができ、攻撃の成功率を大幅に高めることができます。つまり、CVE-2025-47813は、より壊滅的なRCE攻撃への「足がかり」として機能する可能性があるのです。
現実世界での悪用事例と攻撃者の手口
CISAの警告によると、CVE-2025-47813は2025年7月時点で既に活発に悪用されていることが確認されています。セキュリティ企業Huntressの報告によれば、攻撃者はこの脆弱性を悪用して、以下のような悪質な活動を行っています。
- 悪意のあるLuaファイルのダウンロードと実行: サーバー上で不正なスクリプトを実行し、さらなる攻撃の足がかりを築きます。
- 偵察活動: サーバーの内部情報やネットワーク構成を収集し、より高度な攻撃計画を立てます。
- リモート監視・管理(RMM)ソフトウェアのインストール: 攻撃者がサーバーを遠隔から完全に制御するためのツールを仕込みます。これにより、データの窃取、改ざん、破壊、さらには他のシステムへの攻撃拠点として利用される可能性があります。
これらの手口は、攻撃者が単に情報を盗むだけでなく、システムを完全に掌握し、組織に甚大な被害をもたらすことを目的としていることを示しています。
緊急の対策が求められる理由とCISAの勧告
この脆弱性は、バージョン7.4.3以前のすべてのWing FTPサーバーに影響を与えます。幸いなことに、この問題はJulien Ahrens氏による責任ある開示を受けて、2025年5月に出荷されたバージョン7.4.4で既に修正されています。バージョン7.4.4では、CVE-2025-47812(RCE脆弱性)も同時に修正されています。
CISAは、連邦政府機関に対し、2026年3月30日までに必要な修正を適用するよう勧告しています。これは、政府機関だけでなく、Wing FTPサーバーを利用するすべての組織にとって、パッチ適用が最優先事項であることを意味します。
システム管理者へ:今すぐ取るべきセキュリティ対策
このWing FTPの脆弱性からシステムを保護するためには、以下の対策を直ちに実行することが不可欠です。
- Wing FTPサーバーの即時アップデート: 最も重要な対策は、Wing FTPサーバーをバージョン7.4.4以降にアップデートすることです。これにより、CVE-2025-47813とCVE-2025-47812の両方が修正されます。
- システムログの監視強化: 不審なアクセスやエラーメッセージ、異常なファイル転送がないか、Wing FTPサーバーのログを定期的に、かつ詳細に監視してください。
- ネットワーク境界の防御: ファイアウォールや侵入検知システム(IDS)、侵入防止システム(IPS)を適切に設定し、外部からの不正なアクセスをブロックします。可能であれば、Webアプリケーションファイアウォール(WAF)を導入し、不正なHTTPリクエストを検出・遮断することも有効です。
- 最小権限の原則の適用: Wing FTPサーバーが動作するアカウントには、必要最小限の権限のみを付与し、万が一侵害された場合の影響を最小限に抑えます。
- 定期的な脆弱性スキャンとペネトレーションテスト: 定期的にシステム全体の脆弱性スキャンを実施し、新たな脆弱性がないか確認します。また、専門家によるペネトレーションテストを実施し、実際の攻撃シナリオを想定した防御能力の評価も検討してください。
- バックアップと復旧計画: 万が一の事態に備え、重要なデータのバックアップを定期的に取得し、迅速な復旧計画を策定しておくことが重要です。
これらの対策は、Wing FTPサーバーだけでなく、他の重要なシステムにも適用すべき基本的なセキュリティプラクティスです。特に、インターネットに公開されているサーバーは常に攻撃の標的となるため、継続的な監視と迅速な対応が求められます。
まとめ:情報漏洩からRCEへ、連鎖する脅威への警戒を
CISAがWing FTPサーバーのCVE-2025-47813をKEVカタログに追加したことは、この情報漏洩脆弱性が単なる軽微な問題ではなく、実際に攻撃者によって悪用され、より深刻なRCE攻撃の足がかりとなっている現実を浮き彫りにしています。
システム管理者は、この警告を真摯に受け止め、直ちにWing FTPサーバーを最新バージョンにアップデートし、その他のセキュリティ対策を徹底する必要があります。サイバー攻撃の手口は日々巧妙化しており、一つの脆弱性が連鎖的にシステム全体を危険に晒す可能性があります。継続的なセキュリティ意識と迅速な対応こそが、組織のデジタル資産を守るための鍵となるでしょう。