脅威アクターが脆弱なSpring Bootツールを組み込んだアプリをスキャン中

オープンソースのSpring Bootツールを組み込んだアプリに2か月前から存在する脆弱性をまだ対策していない企業の管理者は、危険にさらされている可能性があります。この脆弱性を悪用しようとする試みは依然として続いています。

Spring Bootは、Javaベースのフレームワークを利用してマイクロサービスやWebアプリを作成するためのツールです。開発者向け学習プラットフォームAmigoscodeの4月のレポートによると、Spring Bootは「2025年においてもJava開発者にとって最も強力で広く採用されているフレームワークの1つであり続けています。」

この脆弱性は5月に最初に報告されました。これは、Signalに似た企業向けメッセージングシステムであり、モバイルメッセージの記録・保存も行うTeleMessage SGNLで発見されました。

しかし、GreyNoiseの研究者は、今週だけで少なくとも11のIPアドレスがこの脆弱性（CVE-2025-48927）を含むアプリケーションの悪用を試みていると報告しました。金曜の午後、ニュース報道がGreyNoiseの警告を繰り返した後、この脆弱性をスキャンしているIPアドレスの数は1,000を超えました。

GreyNoiseによると、過去90日間で2,000以上のIPアドレスがSpring Boot Actuatorのエンドポイントをスキャンしました。そのうち1,582のIPが特にインターネット上で公開されているSpring Bootの導入を検出するためによく使われる/healthエンドポイントを狙っていました。

TeleMessage SGNLを含む脆弱なアプリが見つかった場合、ヒープメモリ内のプレーンテキストのユーザー名やパスワードなどの機密データを盗まれる恐れがあります。この脆弱性は深刻であり、今週、米国サイバーセキュリティ・インフラストラクチャ庁（CISA）の既知の悪用脆弱性カタログにも追加されました。

どれだけ多くのSpring Boot関連のエンドポイントが依然として危険にさらされているかは明らかではありません。GreyNoiseの研究者は今週、多くのデバイスが依然として公開されており、悪用可能な状態にあることを発見しました。

Spring Bootの利用方法

GreyNoiseによると、TeleMessage SGNLの問題は、Spring Boot Actuatorのレガシー設定を引き続き使用していることに起因しています。この設定では、診断用の/heapdumpエンドポイントが認証なしでインターネット上に公開されています。

Spring Bootを利用するアプリケーションの脆弱性を緩和するのは比較的簡単です。/infoおよび/health以外のすべてのSpring Bootエンドポイントへのアクセスをブロックしてください。

TeleMessage SGNLは米国のSmarsh社が販売しており、同社はアーカイブ、通信コンプライアンス、情報ガバナンス、データ移行ソリューションを提供しています。Smarshが現在どの程度TeleMessage SGNLを積極的に販売しているかは不明です。アプリケーションのホームページはありますが、製品の詳細情報を得るためのリンクはありません。

CSOはSmarshにメールを送り、脆弱性に関するコメントを求めて営業担当者にも問い合わせましたが、記事掲載時点では返答はありませんでした。

インシデント対応会社CypherのCOOであるEd Dubrovsky氏は、TeleMessage SGNLのユーザー数はSignalよりもはるかに少ないため、この脆弱性の影響範囲も小さいと指摘しています。

しかし彼は、この脆弱性を悪用されると、アプリのヒープメモリから最大150MBのデータをリモートでコピーされる可能性があり、テキストメッセージが含まれていれば「深刻な懸念となり得る」と述べています。

クローンアプリに注意

「CISO/CSOの観点からは、特別な理由がない限りクローンアプリの利用は控えるべきです」と彼は付け加えました。「主な理由は、利用者が少ないと開発者の注目も集まらず、ゼロデイやその他の脆弱性のリスクが高まるためです。」

「最後に」と彼は述べ、「ユーザーにはログイン情報やパスワードの使い回しをしないようにし、テキストアプリで共有する情報は機密情報以外に限定するよう注意喚起してください。」

カナダのインシデント対応会社Digital Defenceの責任者Robert Beggs氏は、TeleMessage SGNLのユーザーが注意すべきその他のセキュリティ問題についても指摘しています。これも5月に報告されました。米国国立標準技術研究所（NIST）は、このアプリケーションがパスワードハッシュにMD5を使用していると報告しています。「これにより、（レインボーテーブルを含む）さまざまな攻撃が低い計算コストで可能になります」（CVE-2025-48931）。

MD5は時代遅れの暗号化方式であり、安全性が低いことが知られていると彼はメールで述べました。また、NISTによると、これらのハッシュ化されたパスワードがTeleMessage SGNLの認証情報として受け入れられる可能性があることも指摘しています（CVE-2025-48925）。

「ある意味で、TeleMessage SGNLはSignalのエンドツーエンドセキュリティの主張に“便乗”し、インターフェースの見た目や操作感を模倣しています」とBeggs氏は述べました。その事実を踏まえ、「CISOは、より強固なセキュリティが施されたオリジナル製品とサードパーティ製品をどのように区別すべきでしょうか？」と問いかけています。

これらの脆弱性は潜在的なリスクを浮き彫りにしていると彼は述べました。すなわち、敵対的な国家や組織的なハッカー集団が運営するトロイの木馬型アプリケーションが、セキュリティに準拠しているように見せかけて、バックエンドで暗号化されていないデータを密かに収集する可能性です。「政府、金融機関、知的財産の保護を目指す組織は、この種の攻撃によるリスクにさらされる可能性があります」と彼は述べました。「そのデータは究極の内部脅威として利用される恐れがあります。」