Redisに13年来のRCE脆弱性「RediShell」が発覚、ホスト完全掌握の恐れ
広く利用されているインメモリデータ構造ストアであるRedisに、リモートコード実行(RCE)の脆弱性が発見され、サイバーセキュリティコミュニティに衝撃が走っています。この脆弱性はCVE-2025-49844と指定され、研究者によって「RediShell」と名付けられました。CVSS 3.1の最大深刻度スコア10.0を記録し、世界中のすべてのRedisバージョンに影響を与えます。
13年来のバグが現代のセキュリティ危機を招く
Wiz Researchが発見したこの壊滅的な脆弱性は、約13年間Redisのソースコードに埋め込まれていたUse-After-Free(UAF)メモリ破損バグを悪用するものです。認証された攻撃者は、特別に細工された悪意のあるLuaスクリプトを送信することで、Luaサンドボックス環境を回避し、Redisホストシステム上で任意のネイティブコード実行を達成できます。
- CVE ID: CVE-2025-49844
- 製品: Redis (全バージョン)
- 脆弱性タイプ: Use-After-Free (UAF) メモリ破損
- 影響: リモートコード実行 (RCE)
- 攻撃ベクトル: ネットワーク
- 認証要件: あり (認証後)
広範囲に及ぶ影響とリスク
この脆弱性の影響は、単純なデータ侵害シナリオをはるかに超えます。悪用が成功すると、攻撃者はホストシステムを完全に制御できるようになり、機密データの持ち出し、ランサムウェアやクリプトマイナーの展開、SSHキーやIAMトークンを含む認証情報の窃取、クラウド環境全体でのラテラルムーブメントのための永続的なバックドアの確立が可能になります。
この脆弱性が特に憂慮すべきなのは、現代のインフラにおけるRedisの遍在性です。セキュリティ研究者の推定では、Redisはクラウド環境の約75%で稼働しており、キャッシュ、セッション管理、パブリッシュ/サブスクライブメッセージングシステムなどの重要な機能を提供しています。現在のデプロイメント慣行を考慮すると、脆弱性の深刻度はさらに懸念されます。
Wiz Researchの分析によると、現在約330,000のRedisインスタンスがインターネットに公開されており、そのうち約60,000のインストールには認証設定が全くありません。研究によると、クラウド環境の57%で使用されている公式のRedisコンテナイメージは、デフォルトで認証を要求しません。この広範なデプロイメントパターンは、インターネットに公開された認証されていないRedisインスタンスがリモート攻撃者にとって容易な標的となる、特に危険なシナリオを生み出しています。
内部ネットワークでRedisインスタンスを運用している組織も、同様に高いリスクに直面しています。多くの内部デプロイメントでは、セキュリティよりも利便性が優先され、適切な認証メカニズムなしで実行されることがよくあります。これにより、すでに初期ネットワークアクセスを獲得している攻撃者が、ラテラルムーブメントや特権昇格のために脆弱性を悪用する機会が生まれます。
RediShellの悪用プロセスと対策
RediShellの悪用プロセスは、壊滅的な攻撃チェーンをたどります。まず、攻撃者はUse-After-Free脆弱性を標的とした悪意のあるLuaスクリプトを送信します。これらのスクリプトはRedisのLuaサンドボックス環境を正常に回避し、基盤となるホストシステム上で任意のコード実行能力を達成します。システムアクセスが確立されると、攻撃者は包括的な侵害戦略を実行できます。これには、システムに保存されているSSHキー、IAMトークン、証明書などの認証情報の窃取が含まれます。攻撃者は頻繁にマルウェア、仮想通貨マイナーをインストールしたり、永続的なアクセスを目的としたリバースシェルを確立したりします。
Redisは2025年10月3日に、この脆弱性に対処するパッチ適用済みバージョンとともに、公式のセキュリティアドバイザリを公開しました。開示のタイムラインは、脆弱性がPwn2Own Berlinで2025年5月16日に最初に報告されたことを示しており、組織がこの重大な欠陥を認識せずに運用していた期間が長かったことを浮き彫りにしています。
CVE-2025-49844の脆弱性は、過去1年間でCVSSスコアが最大値に割り当てられた300未満の脆弱性の1つであり、Redisの脆弱性としては初めての重大度「クリティカル」と評価されました。世界中の組織は、これを緊急のセキュリティ優先事項として扱い、直ちに対策を講じる必要があります。