米CISAは2025年8月18日、Trend Micro Apex Oneのコマンドインジェクション脆弱性(CVE-2025-54948)をKnown Exploited Vulnerabilities(KEV)カタログに追加しました。実運用環境での悪用が確認されており、連邦政府機関には9月8日までの対処を義務付けています。
オンプレミスの管理コンソールが対象で、トレンドマイクロはパッチ/回避策を提示。暫定の緩和策は「Remote Install Agent」機能を停止させるため、運用影響と優先順位付けが鍵になります。
深刻度の高いゼロデイ脆弱性
Apex Oneは、マルウェアや脆弱性攻撃を自動検知・対応するエンドポイントセキュリティ製品です。
今回確認された脆弱性は、オンプレミス版Apex Oneの管理コンソールに存在するコマンドインジェクションの欠陥で、未認証の攻撃者がリモートから任意のコードを実行できる可能性があります。トレンドマイクロは、「少なくとも1件の悪用試行が確認されている」と説明しており、影響を受ける製品利用者に対し速やかな対策を求めています。
技術的背景とリスク
脆弱性は管理コンソールの入力処理に起因するOSコマンドインジェクションで、事前認証不要・ネットワーク経由で悪用可能です。管理コンソールがインターネットに露出、もしくはVPN越しに広く到達可能な構成だと、横展開(ラテラルムーブメント)やEDR停止、ランサムウェア投入の初手にされる恐れがあります。CISAがKEVに掲載したこと自体、実害ベースで観測されていることを意味します。
運用影響とトレードオフ
暫定Fixは“既知の悪用に対する最優先の安全側”を取る一方、管理者の利便機能を止める設計です。脅威の直近動向と露出状況で判断を分けるのが現実的です。
-
露出がある/疑わしい:即Fix→代替配布運用へ。
-
完全閉域・短期で恒久パッチ適用可:パッチ直適用を優先。
いずれもKEV期限内の完了と、恒久パッチ適用後の機能復帰テストを忘れないでください。








