QNAPは、Pwn2Own Ireland 2025で研究者らに実演されたゼロデイを含む複数の脆弱性に対して修正を提供しました。OS系ではQTS 5.2系とQuTS hero h5.2系/h5.3系に影響する問題をまとめたアドバイザリ「QSA-25-45」を公開し、深刻度Criticalとして対処済みとしています。同時に、競技で悪用が示されたバックアップやマルウェア対策などのアプリ群についても最新版で修正が進んでおり、QNAPはシステムとアプリの両方を早急に更新するよう利用者に呼びかけています。
影響範囲
対象となるのはQNAPの主要NAS向けOSであるQTS 5.2系、およびZFSベースのQuTS hero h5.2系/h5.3系です。
Pwn2Ownで示された手法は、管理者操作なしにNAS上のサービスや設定に干渉できる可能性を持つものが含まれており、公開環境やリモートアクセスを許可している装置ほど影響が顕在化しやすくなります。QNAPは本件をCriticalと位置づけ、OSとアプリの双方を最新へ引き上げることを前提に利用を継続するよう促しています。
修正済みバージョン
OSについては、QTS 5.2は「5.2.7.3297(2025-10-24以降)」、QuTS hero h5.2は「5.2.7.3297(同)」、QuTS hero h5.3は「5.3.1.3292(同)」で対処が完了しています。
アプリ側は、Hyper Data Protectorが2.2.4.1以降、Malware Removerが6.6.8.20251023以降、HBS 3 Hybrid Backup Syncが26.2.0.938以降で修正が取り込まれています。DEVCOREによる報告はQSA-25-45の謝辞にも明記されており、競技での指摘が短期間で製品改善に結び付いた形です。
何が起きたのか
アイルランド開催のPwn2Own 2025では、Summoning Team、DEVCORE、Team DDOS、CyCraftのインターンといった研究者チームがQNAP NASを標的に、未公開の欠陥を突いて侵害に成功しました。
QNAPはこれを受け、OS側の脆弱性としてCVE-2025-62847、CVE-2025-62848、CVE-2025-62849、さらにZDI-CAN-28353、ZDI-CAN-28435、ZDI-CAN-28436を整理して公表し、修正を反映したファームウェアを配信しています。あわせて、Hyper Data Protector、Malware Remover、HBS 3 Hybrid Backup Syncといった主要アプリで露見したゼロデイにもパッチが用意され、当面のリスク低減が可能になりました。
最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。








