Wing FTP Serverの脆弱性をハッカーが悪用中 管理者レベルの権限奪取リスク：Cybersecurity Dive

Wing FTP Serverに見つかった深刻な脆弱性をサイバー攻撃者たちが積極的に悪用していることが判明した。これを悪用されると、最終的には管理者権限でのリモートコードの実行を引き起こすことが可能だという。

[David Jones，Cybersecurity Dive]

　セキュリティ研究者たちは、ハッカーが「Wing FTP Server」を使用しているPCを標的に攻撃を仕掛けており、その原因となっている深刻な脆弱（ぜいじゃく）性が悪用されると、システム全体を乗っ取られる恐れがあると警告した。

Wing FTPに深刻な脆弱性　管理者レベルの権限を奪取されるリスク

　マネージドサイバーセキュリティプラットフォームを提供するHuntressの研究者たちによると（注1）、「CVE-2025-47812」として追跡されている同脆弱性は（注2）ヌルバイト（null byte）と、Wing FTP Serverでセッション管理に使われているプログラミング言語「Lua」のインジェクションに関連する欠陥だ。攻撃者はLuaで特定の入力を作成することで同脆弱性を悪用し、最終的には管理者権限でのリモートコードを実行する。

　Huntressの研究者たちは、同脆弱性に関する先行調査が公開された翌日である2025年7月1日（現地時間、以下同）に、実際に顧客が攻撃を受けている事実を初めて確認した。

　米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年7月14日（注3）、「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に同脆弱性を追加した。

　Wing FTPによると、同社のサービスは約1万社の顧客に利用されており（注4）、その中には大手企業も含まれている。同社は『Cybersecurity Dive』に対し、「脆弱性への対処方法を案内する電子メールを顧客に送信し、アップグレードによる対応を呼びかけている」と述べた。

　サイバーセキュリティの取り組みを進める非営利団体のThe Shadowserver Foundationの研究者たちは、2025年7月1日以降、同脆弱性が実際に悪用されている事実を確認したという（注5）。また、Wing FTPが稼働しているPCは約2000台あると見られており、現在その中でどの程度が脆弱な状態にあるかが調査されているようだ。

　The Shadowserver Foundationによると、同脆弱性の影響を受ける可能性があるシステムが多く存在する国は、米国および中国、ドイツだ。

　サイバーセキュリティ事業を営むRCE Securityによると、この問題は同社がある顧客向けにテストをしている中で見つかった（注6）。RCE Securityは、同脆弱性は管理者レベルへのアクセスを可能にし、攻撃者が極めて高いレベルのアクセス権限を取得する可能性があると警告した。

　RCE Securityでペネトレーションテストを担当するジュリアン・アーレンス氏は次のように述べた。

　「同脆弱性の悪用により、認証されていない攻撃者であっても最終的に最も高い権限を取得できる。つまりサーバ全体を乗っ取られ、パスワードなどの機密情報も全て奪われるだろう。攻撃者はどのようなファイルであっても閲覧および変更、削除できる。これにより、データがひそかに外部に持ち出されるだけでなくシステムがランサムウェアの被害を受ける恐れもある」

（注1）Wing FTP Server Remote Code Execution (CVE-2025-47812) Exploited in the Wild（Huntress）
（注2）CVE-2025-47812 Detail（NIST）
（注3）CISA Adds One Known Exploited Vulnerability to Catalog（CISA）
（注4）Free FTP Server Software（Wing FTP Server）
（注5）World map（SHADOWSERVER）
（注6）What the NULL?! Wing FTP Server RCE (CVE-2025-47812)（RCE SECURITY）