Western Digitalは、複数のMy Cloud NASモデル向けに、リモートから任意のシステムコマンドを実行される恐れのある重大な脆弱性を修正するファームウェアアップデートをリリースしました。
CVE-2025-30247として追跡されているこの脆弱性は、My CloudのユーザーインターフェースにおけるOSコマンドインジェクションであり、脆弱なエンドポイントに対して細工されたHTTP POSTリクエストを送信することで悪用される可能性があります。
この脆弱性は、“w1th0ut”というエイリアスを使用するセキュリティ研究者によってWestern Digitalに報告されました。ストレージデバイスメーカーは、以下のモデルのすべての以前のバージョンに影響するこの問題に対処するため、ファームウェアバージョン5.31.108をリリースしました。
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud EX2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
なお、My Cloud DL4100とMy Cloud DL2100の2つのデバイスはサポート終了(EoS)となっており、アップデートが提供されない可能性があります。会社のセキュリティアドバイザリにもEoS製品向けの緩和策は記載されていません。
My CloudはWestern Digitalのネットワーク接続型ストレージ(NAS)であり、主に小規模事業者、ホームオフィス、個人がパーソナルクラウドにデータを保存し、どのデバイスからでもアクセスできるように利用されています。
重要な業務やエンタープライズ環境での利用は想定されていませんが、一般消費者の間では、モバイルアプリやブラウザを通じた簡単なリモートファイルアクセス、メディアストリーミング、自動バックアップ機能などで人気があります。
CVE-2025-30247を悪用してシェルコマンドを実行されると、不正なファイルアクセス、改ざん、削除、ユーザー列挙、設定変更、さらにはバイナリ実行などが発生する可能性があります。
過去には、ハッカーがNASデバイスの同様の脆弱性を悪用し、機密データの収集、ボットネットの構築、プロキシとしての利用、またはランサムウェアの展開とユーザーへの恐喝などを行った事例があります。
My Cloudユーザーは、できるだけ早く5.31.108へのパッチ適用を優先してください。すぐに対応できない場合は、アップデートが適用できるまでデバイスをオフラインにすることが推奨されます。
オフラインでも、My CloudデバイスはLANモードでローカルストレージセンターとして動作しますが、Western Digitalのクラウドサービス上のファイルにはアクセスできません。
デバイス設定で自動更新を有効にしているユーザーは、2025年9月23日以降にアップデートを受信しているはずです。最新版が適用されているか確認することを推奨します。
手動でのアップデートも可能です(手順はこちら)。お使いのデバイスモデルに合ったファームウェアイメージをこちらから入手し、設定 > ファームウェアアップデート > ファイルからアップデート > ダウンロードしたBINファイルを選択、の順に操作してください。
アップデートを有効にするにはデバイスの再起動が必要です。また、データ破損を防ぐため、作業中はデバイスの電源を切らないでください。
