日本のソリトンシステムズK.K.の人気ファイル転送ソリューションであるFileZenの重大な脆弱性により、認証された攻撃者は脆弱なサーバー上で任意のオペレーティングシステムコマンドを実行することができます。
CVE-2026-25108として追跡されているこのOSコマンドインジェクション脆弱性は、CVSS スコア 8.8(v3.0)および 8.7(v4.0)で深刻です。
特にアンチウイルスチェックオプションが有効になっているビジネスを含む、機密ファイル転送を扱う企業に重大な脅威をもたらします。
この問題は、有効なログイン認証情報を持つ攻撃者が特別に細工されたHTTPリクエストを送信するときに発生します。これはFileZenがアンチウイルススキャン中にどのように入力を処理するかの弱点を悪用し、アプリの権限で実行される悪意あるコマンドを注入します。
攻撃者はデータを盗んだり、マルウェアをインストールしたり、システムを完全に乗っ取ることができます。日本の脆弱性対策情報(JVN)勧告は2026年2月13日に公開され、現実世界での悪用の試みが進行中であることを確認し、緊急行動を促しています。
FileZen バージョン V-5.0.0 から V-5.0.10 および V-4.2.1 から V-4.2.8 が影響を受けています。FileZen S バージョンは安全なままです。
エクスプロイトコードはまだ公開されていませんが、認証のみが必要な低いハードルにより、共有環境では危険です。
悪用により攻撃者はアプリのシステムレベルのアクセスを獲得し、機密性、整合性、および可用性の全体的な侵害のリスクがあります。
組織は今すぐアップグレードする必要があります。アンチウイルススキャンがアクティブなセットアップを優先してください。2026年2月中旬からの奇妙なログイン、疑わしいHTTPトラフィック、またはコマンドアーティファクトのスキャンログを確認してください。
JPCERT/CC のアラート JPCERT-AT-2026-0004 は、失敗した悪用のための IOC を含む日本固有のヒントを提供しています。
この脆弱性は、統合スキャン機能を備えたファイル転送ツールのリスクを強調しています。アンチウイルスチェックオプションを無効にすると、パッチが適用されるまでエクスポージャーが軽減されますが、これは更新の代替にはなりません。ソリトンシステムズのようなベンダーは、今後のリリースでセキュアなデフォルトを強調しています。
翻訳元: https://cyberpress.org/filezen-file-transfer-flaw/