🛡 概要
Adobe Commerce(旧Magento)のSessionReaper脆弱性(CVE-2025-54236)が悪用されており、数百件の攻撃が記録されています。eコマースセキュリティ企業Sansecは、この脆弱性を製品史上最も深刻なセキュリティバグの一つと評価しています。Adobeは9月8日にこの脆弱性について警告を発表し、影響を受けるCommerceのバージョンを明示しました。悪用に成功した攻撃者は、ユーザーの操作なしにアカウントセッションを制御できます。
🔍 技術詳細
CVE-2025-54236は不適切な入力検証に関連する脆弱性で、Commerce REST APIを通じて顧客アカウントを奪取することが可能です。Sansecは、セッションデータがファイルシステムに保存されることが成功の鍵であると指摘しています。Adobeによる緊急パッチが提供された約6週間後、実際の攻撃が確認され、Sansec Shieldは最初のリアルワールド攻撃を検知しました。これにより、未パッチの店舗にとって悪いニュースとなっています。
⚠ 影響
現在、オンラインのMagentoストアの62%がAdobeのセキュリティアップデートを適用しておらず、SessionReaper攻撃に対して脆弱な状態です。パッチが提供されてから10日後には、わずか3分の1のウェブサイトが更新をインストールしたに過ぎず、現在では約60%の店舗が依然として脆弱です。これにより、攻撃者が顧客情報やアカウントを不正に取得するリスクが高まっています。Sansecは、特に多くの攻撃が特定のIPアドレスから発信されていることを示しています。
🛠 対策
ウェブサイトの管理者は、Adobeからのパッチや推奨される緩和策をできるだけ早く適用することが強く推奨されます。脆弱性を悪用される前に、迅速な対応が必要です。また、定期的なセキュリティチェックやアップデートの確認を行うことで、将来的なリスクを軽減することができます。攻撃の兆候が見られた場合は、即座に専門家に相談することが重要です。
