はじめに
Western Digitalは、同社のMy Cloud NASモデルに存在する深刻な脆弱性(CVE-2025-30247)を修正するためのファームウェアアップデートをリリースしました。この脆弱性は、リモートからの任意のシステムコマンド実行を可能にするもので、ユーザーは速やかな対応が求められます。
脆弱性の詳細
この脆弱性「CVE-2025-30247」は、My CloudのユーザーインターフェースにおけるOSコマンドインジェクションの欠陥です。特別に細工されたHTTP POSTリクエストを脆弱なエンドポイントに送信することで、リモートから悪用される可能性があります。この問題は、セキュリティ研究者「w1th0ut」氏によってWestern Digitalに報告されました。
影響を受けるモデルと対策
Western Digitalは、この問題に対処するためファームウェアバージョン5.31.108をリリースしました。以下のMy Cloudモデルの全旧バージョンが影響を受けます。
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud Mirror Gen 2
- My Cloud DL2100
- My Cloud EX2100
- My Cloud DL4100
- My Cloud WDBCTLxxxxxx-10
注意点として、My Cloud DL4100とMy Cloud DL2100の2機種はすでにサポート終了(EoS)しており、セキュリティアドバイザリにはEoS製品に対する緩和策が提供されていないため、アップデートが利用できない可能性があります。
潜在的な影響
CVE-2025-30247が悪用されシェルコマンドが実行された場合、不正なファイルアクセス、変更、削除、ユーザー列挙、設定変更、さらにはバイナリ実行につながる可能性があります。過去には、NASデバイスの同様の脆弱性が悪用され、機密データの収集、ボットネットの構築、プロキシとしての利用、ランサムウェアの展開などが行われ、ユーザーが恐喝されるケースも発生しています。
推奨される対応
My Cloudユーザーは、できるだけ早くファームウェアを5.31.108にアップデートすることを最優先してください。直ちにアップデートできない場合は、アップデートを適用できるまでデバイスをオフラインにすることを推奨します。オフライン状態でも、My CloudデバイスはLANモードでローカルストレージとして機能しますが、Western Digitalのクラウドサービスに保存されたファイルは利用できなくなります。
デバイス設定で自動アップデートを有効にしているユーザーは、2025年9月23日以降にアップデートを受け取っているはずですが、最新バージョンが実行されているか確認することが推奨されます。手動アップデートも可能です。正しいファームウェアイメージをWestern Digitalのウェブサイトから入手し、「設定」>「ファームウェアアップデート」>「ファイルからアップデート」に進み、ダウンロードしたBINファイルを選択してください。アップデートを適用するにはデバイスの再起動が必要であり、データ破損を防ぐため、プロセス中はデバイスの電源を接続したままにする必要があります。