はじめに
Adobe Commerce(旧Magento)プラットフォームで発見された重大な「SessionReaper」脆弱性(CVE-2025-54236)が、現在ハッカーによって活発に悪用されています。eコマースセキュリティ企業Sansecは、すでに数百件の攻撃を検知・阻止したと報告しており、未パッチのストアに対する深刻な脅威が浮上しています。
「SessionReaper」脆弱性とは
Adobeは9月8日にCVE-2025-54236について警告を発しました。これは、Commerce REST APIにおける不適切な入力検証の脆弱性であり、攻撃者がユーザーの操作なしにアカウントセッションを乗っ取ることが可能になります。Sansecは以前、この脆弱性を製品史上最も深刻なセキュリティバグの一つと評していました。
影響を受けるバージョンは以下の通りです:
- 2.4.9-alpha2
- 2.4.8-p2
- 2.4.7-p7
- 2.4.6-p12
- 2.4.5-p14
- 2.4.4-p15(およびそれ以前のバージョン)
この脆弱性の悪用は、セッションデータがファイルシステムに保存されている場合に成功する可能性が高いとされており、これは多くのストアで採用されているデフォルト設定です。
活発な悪用状況
緊急パッチが公開されてから約6週間が経過し、Sansecは「SessionReaper」の活発な悪用が確認されたと発表しました。同社は本日だけで、複数のストアを標的とした250件以上のSessionReaper悪用試行を検知・阻止しました。これらの攻撃のほとんどは、以下の5つのIPアドレスから発信されています。
- 34.227.25.4
- 44.212.43.34
- 54.205.171.35
- 155.117.84.134
- 159.89.12.166
これまでの攻撃には、PHPウェブシェルや、設定を確認しシステム上の事前定義された変数を検索するphpinfoプローブが含まれていました。また、本日Searchlight Cyberの研究者がCVE-2025-54236の詳細な技術分析を公開したことで、今後悪用試行が増加する可能性も指摘されています。
未パッチのストアが多数
Sansecによると、現在オンラインのMagentoストアの62%がAdobeのセキュリティアップデートをまだインストールしておらず、「SessionReaper」攻撃に対して脆弱なままです。パッチが利用可能になってから10日後には、わずか3分の1のウェブサイトしかアップデートを適用していませんでした。現状では、5つのストアのうち3つが脆弱な状態にあることになります。
ウェブサイト管理者は、できるだけ早くパッチを適用するか、Adobeが推奨する緩和策を講じることが強く推奨されます。