2026年1月13日、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、自己ホスト型Gitサービス「Gogs」に存在する深刻なセキュリティ脆弱性(CVE-2025-8110)が、現実世界で活発に悪用されているとして緊急警告を発しました。この脆弱性は、CISAの既知の悪用済み脆弱性(KEV)カタログに追加され、その脅威の深刻さが浮き彫りになっています。Gogsは、開発者が自身のサーバー上でGitリポジトリを管理するための軽量かつオープンソースのプラットフォームであり、その手軽さから世界中で広く利用されています。
この脆弱性は、CVSS v4.0スコアで8.7という高い評価を受けており、認証されたユーザーがリポジトリ外のファイルを上書きできるという、極めて危険な特性を持っています。これにより、攻撃者はリモートコード実行(RCE)を達成し、対象サーバーを完全に制御する可能性を秘めています。CISAの警告は、このゼロデイ脆弱性に対する公式なパッチがまだ提供されていない状況下で発せられたものであり、Gogsを利用する組織にとって喫緊の課題となっています。
セキュリティ研究者たちは、この脆弱性が昨年導入された類似の問題(CVE-2024-55947)に対する保護策を巧妙に回避していることを指摘しています。これは、攻撃者が既存の防御メカニズムを深く理解し、それを迂回する新たな手法を開発していることを示唆しており、サイバーセキュリティの進化する脅威ランドスケープの一端を垣間見せます。この新たな攻撃手法は、単なる技術的な欠陥を超え、組織のデータとインフラストラクチャに対する広範なリスクをもたらします。
Gogsの利用者は、この未曾有の脅威に直面しており、パッチが提供されるまでの間、迅速な対応が求められています。CISAは連邦政府機関に対し、2026年2月2日までに緩和策を適用するよう指示しており、これは他の組織にとっても同様の緊急性を持つ警告と受け止めるべきでしょう。この脆弱性がもたらす潜在的な影響は計り知れず、機密情報の漏洩からシステム全体の乗っ取りまで、多岐にわたる被害が懸念されています。
CVE-2025-8110:シンボリックリンク悪用の巧妙な手口
CVE-2025-8110の核心は、GogsのPutContents APIにおけるシンボリックリンクの不適切な処理にあります。この技術的な欠陥は、パス・トラバーサル脆弱性の一種であり、認証済みの攻撃者がリポジトリの境界を越えて、サーバー上の任意のファイルを操作することを可能にします。具体的には、攻撃者はまずリポジトリ内に悪意のあるシンボリックリンクをコミットします。このシンボリックリンクは、リポジトリ外の機密性の高いファイルやディレクトリを指すように細工されています。
次に、攻撃者はPutContents APIを利用して、このシンボリックリンクに対してデータを書き込みます。Gogsがシンボリックリンクの参照先を適切に検証せずに書き込み処理を進めるため、結果として基盤となるオペレーティングシステムは、シンボリックリンクが指す本来のターゲットファイルにデータを上書きしてしまいます。このプロセスは、攻撃者がリポジトリのサンドボックスを効果的に突破し、サーバーのファイルシステム全体にアクセスできることを意味します。
この脆弱性の悪用は、特にGitの設定ファイルに焦点を当てて行われることが多いと報告されています。例えば、攻撃者はGitの設定ファイル内の「sshCommand」設定を改ざんすることで、任意のコード実行権限を獲得できます。この設定は、Git操作時に実行されるSSHコマンドを定義するため、攻撃者がこれを制御できれば、サーバー上で望むコマンドを自由に実行できるようになるのです。これは、単なるデータ改ざんを超え、システム全体の乗っ取りに直結する深刻な事態を招きます。
さらに懸念されるのは、この脆弱性が昨年発見された類似の欠陥であるCVE-2024-55947に対する保護策を意図的に回避している点です。Wizの研究者たちは、攻撃者がこのゼロデイ脆弱性を利用して、以前のパッチでは防げなかった方法でシステムに侵入していることを突き止めました。これは、攻撃者がセキュリティパッチの適用状況を監視し、それを迂回する新たな攻撃経路を常に模索しているという、サイバーセキュリティの厳しい現実を浮き彫りにしています。
ゼロデイ攻撃の連鎖:Wizが暴いた実態
このGogsの脆弱性(CVE-2025-8110)が活発に悪用されている事実は、セキュリティ企業Wizの研究者たちによって最初に明らかにされました。彼らは顧客のシステムにおけるマルウェア感染の調査を進める中で、攻撃者がこの脆弱性をゼロデイとして悪用している現場を発見しました。Wizの分析によれば、攻撃者は既存の防御策を巧妙にすり抜け、Gogsインスタンスへの侵入を成功させていたのです。この発見は、オープンソースソフトウェアのサプライチェーンにおける潜在的なリスクを改めて浮き彫りにしました。
Wizの調査では、すでに700を超えるGogsインスタンスがこの脆弱性によって侵害されていることが確認されました。この数字は、攻撃が特定の標的に限定されず、広範な範囲で展開されていることを示唆しています。さらに、攻撃対象となりうるGogsサーバーの全体像を把握するため、攻撃対象管理プラットフォームCensysのデータが参照されました。Censysの報告によると、現在インターネットに公開されているGogsサーバーは1,600以上に上り、その多くがこの脆弱性の影響を受ける可能性があります。
地理的な分布を見ると、インターネットに露出しているGogsサーバーの集中度は特定の地域に偏っていることが分かります。Censysのデータでは、中国が991台と圧倒的に多く、次いで米国が146台、ドイツが98台、香港が56台、ロシアが49台と続いています。これらの国々では、Gogsが開発環境や内部システムで広く利用されている可能性が高く、攻撃者にとって魅力的な標的となっていることが推測されます。このような地域的な集中は、攻撃者が特定の地理的ターゲットを優先している可能性も示唆しています。
Wizの研究者たちは、この脆弱性を悪用した攻撃活動が2025年7月には既に始まっていたことを観測しています。これは、CISAが警告を発する数ヶ月も前から、攻撃者がこのゼロデイ脆弱性を利用して密かに活動を続けていたことを意味します。このような長期にわたる undetected な攻撃活動は、組織が自身のシステムに潜む未知の脅威をいかに早期に発見し、対処することが困難であるかを物語っています。
攻撃者の影:Supershell C2フレームワークの暗躍
Gogsの脆弱性(CVE-2025-8110)を悪用した攻撃キャンペーンの背後には、特定のコマンド&コントロール(C2)フレームワークの存在が確認されています。Wizの研究者たちは、侵害されたサーバー上で展開されたマルウェアペイロードが、「Supershell」と呼ばれるC2フレームワークと関連していることを突き止めました。Supershellは、攻撃者が遠隔から侵害されたシステムを制御し、さらなる悪意のある活動を実行するための基盤を提供するツールであり、その使用は攻撃の組織性と継続性を示唆しています。
Supershell C2フレームワークの利用は、攻撃者が単発的な侵入ではなく、長期的なアクセスと制御を目的としていることを示しています。このフレームワークを通じて、攻撃者は侵害したGogsインスタンス上で任意のコマンドを実行し、データの窃取、追加マルウェアの展開、あるいは他のシステムへのラテラルムーブメントを試みることが可能です。このような高度なC2インフラストラクチャの存在は、攻撃者が単なる個人ハッカーではなく、より組織化されたグループである可能性が高いことを示唆しています。
Wizが観測した攻撃活動は、2025年7月以降、複数の波にわたって継続的に行われてきました。これは、攻撃者が脆弱なGogsインスタンスを積極的にスキャンし、発見次第、繰り返し攻撃を仕掛けていることを意味します。マルウェアペイロードの展開は、リモートコード実行の成功後、侵害されたサーバーに持続的なアクセスを確立するための重要なステップであり、Supershell C2フレームワークはそのための効果的な手段として機能しています。
この攻撃の継続性は、パッチが提供されていない現状において、Gogsユーザーが絶えず脅威に晒されていることを強調しています。攻撃者は、脆弱なシステムを見つけるたびに、Supershellを介してマルウェアを送り込み、その支配下に置こうとします。このような状況は、Gogsを運用するすべての組織に対し、公式パッチがリリースされるまでの間、最大限の警戒と迅速な緩和策の適用を求める緊急のメッセージとなっています。
パッチ不在の危機:Gogsユーザーが直面する現実
現在、CVE-2025-8110に対する公式なセキュリティパッチはまだ提供されていません。この事実は、Gogsを運用するすべての組織にとって、極めて深刻な懸念材料となっています。CISAが警告を発し、攻撃が活発に進行しているにもかかわらず、脆弱性を根本的に解決する手段が手元にないという状況は、システム管理者にとって悪夢のようなシナリオです。この脆弱性はGogsのバージョン0.13.3以前のすべてのリリースに影響を及ぼし、これらのバージョンを実行しているシステムはすべて悪用の危険に晒されています。
しかし、希望の光がないわけではありません。Gogsプロジェクトのメインブランチには、この問題に対処するためのコード変更が既に提出されています。プロジェクトのメンテナーの一人は、新しいイメージがビルドされ次第、「gogs/gogs:latest」および「gogs/gogs:next-latest」の両方のGogsリリースに修正が含まれるだろうと述べています。これは、近い将来に公式パッチが提供される見込みがあることを示していますが、その具体的な時期はまだ不透明です。
このパッチ不在の期間は、攻撃者にとって絶好の機会を提供し続けています。Wizの報告が示すように、2025年7月以降、複数の攻撃の波が観測されており、パッチがリリースされるまでの間、これらの攻撃はさらに激化する可能性があります。Gogsの利用者は、公式な修正が適用されるまでの間、自身のシステムが常に高いリスクに晒されているという前提で行動する必要があります。これは、単に待つだけでなく、能動的な防御策を講じることが不可欠であることを意味します。
パッチの遅延は、オープンソースプロジェクトが直面する課題の一つでもあります。コミュニティ主導の開発モデルは多くの利点をもたらしますが、緊急性の高いセキュリティ問題への迅速な対応においては、リソースや調整の面で困難が生じることもあります。このGogsの事例は、広く利用されているオープンソースソフトウェアの脆弱性が、いかに迅速に悪用され、そしてそのパッチ提供が遅れることが、どれほど広範なリスクを生み出すかを明確に示しています。
緊急勧告と防御策:連邦政府機関から一般組織への指示
CISAは、この深刻なGogsの脆弱性(CVE-2025-8110)に対処するため、連邦政府機関に対して具体的な指示を出しています。連邦政府執行機関(FCEB)は、2026年2月2日までに必要な緩和策を適用することが義務付けられています。この期限は、脆弱性の緊急性と、政府機関のシステム保護に対するCISAの強い意志を反映しています。このような厳格な指示は、他の民間組織にとっても、同様の緊急性をもって対応すべきであるという明確なシグナルとなります。
CISAとWizの研究者たちは、公式パッチが利用可能になるまでの間、Gogsを運用するすべての組織に対し、以下の即時的な防御策を講じることを強く推奨しています。第一に、オープン登録機能が不要な場合は、これを無効にすることです。これにより、認証されていない悪意のあるユーザーがGogsインスタンスにアカウントを作成し、脆弱性を悪用する初期段階を防ぐことができます。これは、攻撃の敷居を高くするための基本的ながら効果的な手段です。
第二に、VPNやIP許可リストを使用してGogsサーバーへのアクセスを制限することです。Gogsサーバーへのアクセスを信頼できるネットワークや特定のIPアドレスに限定することで、インターネットからの直接的な攻撃ベクトルを大幅に減少させることができます。これにより、外部からの不正アクセス試行を遮断し、攻撃者が脆弱性を悪用する機会を最小限に抑えることが可能になります。これは、ネットワーク境界での防御を強化する上で極めて重要です。
第三に、ランダムな8文字の名前を持つリポジトリや、異常なAPI使用状況を監視することです。攻撃者は、脆弱性を悪用する際に、通常とは異なるリポジトリ名を作成したり、PutContents APIを不自然な方法で利用したりする可能性があります。これらの異常な活動パターンを早期に検知することで、侵害の兆候を捉え、迅速な対応を開始できる可能性があります。継続的な監視は、攻撃の進行を食い止め、被害を最小限に抑えるための重要な要素となります。
これらの緩和策は、パッチが提供されるまでの間、Gogsインスタンスを保護するための暫定的ながらも不可欠なステップです。Gogsの管理者は、自身のシステムが常に高いリスクに晒されているという認識のもと、これらの推奨事項を直ちに実施し、潜在的な脅威から組織を守るための行動を起こすことが求められます。
脆弱なオープンソースの宿命と今後の課題
GogsのCVE-2025-8110の事例は、広く利用されているオープンソースソフトウェアが抱えるセキュリティ上の課題を浮き彫りにしています。Gogsのような自己ホスト型サービスは、その柔軟性とコスト効率から多くの組織に採用されていますが、同時に、セキュリティパッチの適用や監視の責任が利用者側に大きく依存するという側面も持ち合わせています。今回のゼロデイ脆弱性の悪用と、それに続くパッチ提供の遅延は、このモデルにおける潜在的なリスクを明確に示しました。
オープンソースソフトウェアは、その透明性とコミュニティによる貢献によって進化しますが、同時に、セキュリティ問題への対応速度は、プロジェクトの規模、リソース、メンテナーのコミットメントに左右されることがあります。Gogsのケースでは、コード変更は既に提出されているものの、公式なイメージビルドとリリースには時間がかかっており、その間にも攻撃は継続しています。このような状況は、オープンソースプロジェクトのセキュリティライフサイクルにおけるギャップを浮き彫りにし、利用者側がそのギャップを埋めるための積極的な対策を講じる必要性を強調しています。
この事件は、組織が自身のITインフラストラクチャに導入するすべてのソフトウェア、特にインターネットに公開されるサービスについて、そのセキュリティ体制を再評価するきっかけとなるべきです。単にソフトウェアを導入するだけでなく、その脆弱性管理、パッチ適用戦略、そして異常検知のための監視体制が十分に機能しているかを確認することが不可欠です。特に、公式パッチがすぐに利用できない「ゼロデイ」の状況下では、上記で述べたような緩和策の迅速な実施が、被害を食い止める唯一の手段となり得ます。
最終的に、Gogsの脆弱性問題は、サイバーセキュリティが技術的な解決策だけでなく、組織的な対応、リスク管理、そして継続的な警戒の組み合わせであることを改めて示唆しています。攻撃者は常に新たな脆弱性を探し、既存の防御を回避する手法を開発し続けています。この絶え間ない脅威の進化に対し、組織は受動的なパッチ適用だけに頼るのではなく、プロアクティブな脅威ハンティングとインシデントレスポンス能力を強化することで、デジタル資産を保護する責任を果たす必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -CISA Flags Actively Exploited Gogs Vulnerability With No Patch - Infosecurity Magazine - https://www.infosecurity-magazine.com/news/cisa-flags-exploited-gogs-flaw-no/
- -CISA Warns of Active Exploitation of Gogs Vulnerability Enabling Code Execution - https://thehackernews.com/2026/01/cisa-warns-of-active-exploitation-of.html