Apache Tomcatの重大な脆弱性を攻撃者たちが悪用中 日本も標的対象:Cybersecurity Dive
Apache Tomcatの脆弱性「CVE-2025-24813」を利用した攻撃の試みが進行中だ。悪用には一定の条件を満たす必要があるが、日本を含めた複数の国のサーバも攻撃の対象になっているため注意してほしい。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティ事業を営むGreyNoiseの研究者たちは2025年3月20日(現地時間、以下同)、(注1)、OSS(オープンソースソフトウェア)のサーブレットコンテナおよびWebサーバである「Apache Tomcat」に存在する重大な脆弱(ぜいじゃく)性「CVE-2025-24813」が実際に悪用されていると報告した(注2)。
同脆弱性の悪用により、リモートコードの実行が可能になる恐れがある。パス等価性に関するこの脆弱性は、同年3月10日に初めて公表され、複数のバージョンに影響を与えている。影響を受けるバージョンには11.0.0-M1〜11.0.2、10.1.0-M1〜10.1.34、9.0.0.M1〜9.0.98が含まれている。
Apache Tomcatの脆弱性の悪用が進む 標的には日本も含まれるため注意
同脆弱性の悪用は、2025年3月17日にサイバーセキュリティスタートアップ企業であるWallarmによって最初に報告された(注3)。これは、攻撃のために使われるPoC(概念実証)用の非常に簡単なコードが、中国のフォーラムに公開された後のことだった。
一部のセキュリティ研究者やベンダーは、Apache Tomcatの脆弱性を悪用するにはデフォルトではない特別な設定が必要であり、そのような設定は一般的ではないと指摘している。
GreyNoiseによると、「CVE-2025-24813」を悪用しようとする4つのユニークなIPアドレスが観測されたが、現時点における悪質な活動は、PoC用のコードを使用する未熟な攻撃者によって実行されているという。GreyNoiseの脅威インテリジェンスチーム「GreyNoise Intelligence」のコンテンツ責任者であるノア・ストーン氏は「攻撃者は部分的なPUTメソッドを利用して悪質なコードを注入し、脆弱なシステム上で任意のコードを実行する可能性がある」と述べた。
さらに、ストーン氏は「観測された活動の70%が米国に拠点を置くApache Tomcatのインスタンスを標的としており、日本およびインド、韓国、メキシコのサーバも攻撃の対象になっている。Apache Tomcatは広く導入されているため、こうした初期の活動の兆候は、今後さらに多くの悪用が続く可能性を示唆している」と警告した。
クラウドサービスを提供するCloudflareは2025年3月20日にブログ記事を公開し(注4)、「CVE-2025-24813」を標的とした攻撃に関連するトラフィックの詳細を明らかにした。同社はブログ記事で「観測された攻撃用コードの大半は、ターゲットのサーバが脆弱かどうかを判断するために攻撃者が使用する脆弱性スキャンに関連するものだった」と述べている。
Cloudflareは、Apache Tomcatの脆弱なサーバに対するリモートコードの実行を成功させるには、一連の厳密な条件が成り立つことが必要であると指摘している。その中には、部分的なPUTリクエストのサポートが含まれる。さらに同社は「対象組織のWebサーバにおける内部のファイル命名規則や、ターゲットのファイルシステムのディレクトリ構造に関する知識を攻撃者が持っている必要がある」とも述べている。
サイバーセキュリティ事業を営むRapid7の脆弱性インテリジェンス部門に所属するケイトリン・コンドン氏(ディレクター)も「悪用には幾つかの条件が必要だ」と話した。同氏はブログ記事で、攻撃を成功させるには組織側でデフォルトサーブレットに対する書き込みを有効にしている必要があると指摘している(注5)。同氏は「私たちおよび他の調査企業の分析に基づくと、成功するために必要な条件は、デフォルトではない特別なもので、一般的ではないようだ」と述べ、このような条件があることから広範な悪用が起こる可能性は低いと付け加えた。
「Cybersecurity Dive」に対する声明の中で、GreyNoiseの研究チームは「Apache Tomcatの脆弱なサーバの構成に対する可視性が低いため、リモートコードの実行につながる攻撃に必要な条件が満たされているかどうかを評価できない」と述べた。研究チームによると、GreyNoiseのテレメトリーは、悪用の試みを検出できるが、それらの試みが成功したかどうかまでは把握できないようだ。研究チームは「幸いにも、観測された不正コードは、公開されている概念実証用のコードと一致しており、未熟な攻撃者によって使用されているように見受けられた。組織的かつ高度な攻撃キャンペーンの兆候は見られていない」とも述べている。
(注1)GreyNoise Observes Active Exploitation of Critical Apache Tomcat RCE Vulnerability (CVE-2025-24813)(GREYNOISE)
(注2)CVE-2025-24813 Detail(NIST)
(注3)One PUT Request to Own Tomcat: CVE-2025-24813 RCE is in the Wild(wallarm)
(注4)Detecting and Mitigating Apache Tomcat CVE-2025-24813(Akamai)
(注5)Apache Tomcat CVE-2025-24813: What You Need to Know(RAPID7)
関連記事
Fortinet製品群に複数の深刻な脆弱性 急ぎ対応を
Fortinetは、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を及ぼす複数の重大な脆弱性を修正した。
Oracle CloudのSSOログインサーバへの侵害で新報道 「Oracleが隠蔽を図った」と主張
Oracle CloudのSSOログインサーバへの侵害を巡る一連の問題で、新たな報道があった。セキュリティニュースメディアの「DoublePulsar」はOracleがセキュリティインシデントを顧客に対して隠蔽しようとしていると報じた。
Webブラウザ利用者が知らずに犯してしまう「ルール違反」とは?
インフォスティーラー(情報窃取型マルウェア)が流行しています。このマルウェアは基本的な対策だけでは防ぐのがなかなか難しい厄介なものです。特に従業員のWebブラウザの利用次第で感染を拡大させるリスクも……。詳細を解説します。
それぞれのCSIRT組織 各社はどんな体制で、どんな活動をしてきたか?
2024年はKADOKAWAのランサムウェア被害など、国内でも注目を集めたインシデントが発生した。各社CSIRT組織はこれらの問題からどんな教訓を得て、どう組織運営に生かしたか。体制が異なる4社の取り組みを聞いた。
© Industry Dive. All rights reserved.
人気記事ランキング
- Fortinet製デバイス1万6000台超がバックドア被害に 急ぎ対策を
- 約1年ぶりに復活 VMwareが「ESXi」無償版を再提供
- Windowsや“普通のLinux”とは全然違う「コンテナ管理用OS」とは?
- Fortinet製品群に複数の深刻な脆弱性 急ぎ対応を
- Appleの悲願がかなう TLS証明書の有効期間が最短47日に短縮へ
- 国内のランサムウェア被害は過去最多 サイバー攻撃への対処が遅い業界はどこ?
- Fortinet製品のゼロデイ脆弱性がダークWebに流出か?
- 「生成AIの全社活用には“サプライズ”が欠かせない」 定着支援のプロがこう語るワケ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- KnowBe4、国内の生成AIのセキュリティリスクに関する意識調査を公表
ITmediaはアイティメディア株式会社の登録商標です。