Trend Micro Apex Oneの重大な脆弱性(CVE-2025-54948)がCISA「KEV」に追加-実際に悪用される可能性

セキュリティニュース

投稿日時: 更新日時:

Trend Micro Apex Oneの重大脆弱性(CVE-2025-54948)がCISA「KEV」に追加-実際に悪用される可能性

米CISAは2025年8月18日、Trend Micro Apex Oneのコマンドインジェクション脆弱性CVE-2025-54948)をKnown Exploited Vulnerabilities(KEV)カタログに追加しました。実運用環境での悪用が確認されており、連邦政府機関には9月8日までの対処を義務付けています。

オンプレミスの管理コンソールが対象で、トレンドマイクロはパッチ/回避策を提示。暫定の緩和策は「Remote Install Agent」機能を停止させるため、運用影響と優先順位付けが鍵になります。

深刻度の高いゼロデイ脆弱性

Apex Oneは、マルウェアや脆弱性攻撃を自動検知・対応するエンドポイントセキュリティ製品です。

今回確認された脆弱性は、オンプレミス版Apex Oneの管理コンソールに存在するコマンドインジェクションの欠陥で、未認証の攻撃者がリモートから任意のコードを実行できる可能性があります。トレンドマイクロは、「少なくとも1件の悪用試行が確認されている」と説明しており、影響を受ける製品利用者に対し速やかな対策を求めています。

技術的背景とリスク

脆弱性は管理コンソールの入力処理に起因するOSコマンドインジェクションで、事前認証不要・ネットワーク経由で悪用可能です。管理コンソールがインターネットに露出、もしくはVPN越しに広く到達可能な構成だと、横展開(ラテラルムーブメント)やEDR停止、ランサムウェア投入の初手にされる恐れがあります。CISAがKEVに掲載したこと自体、実害ベースで観測されていることを意味します。

運用影響とトレードオフ

暫定Fixは“既知の悪用に対する最優先の安全側”を取る一方、管理者の利便機能を止める設計です。脅威の直近動向と露出状況で判断を分けるのが現実的です。

  • 露出がある/疑わしい即Fix→代替配布運用へ。

  • 完全閉域・短期で恒久パッチ適用可パッチ直適用を優先。
    いずれもKEV期限内の完了と、恒久パッチ適用後の機能復帰テストを忘れないでください。