2026年1月、サイバーセキュリティの世界は、HPE OneViewの極めて深刻な脆弱性を狙った大規模な攻撃キャンペーンによって揺さぶられました。この脆弱性、CVE-2025-37164は、認証なしでリモートコード実行を可能にするものであり、RondoDoxボットネットという新たな脅威アクターによって積極的に悪用されています。Check Point Researchの監視網は、初期の探査活動からわずか数週間のうちに、数万件に及ぶ自動化された攻撃試行へと劇的にエスカレートする様子を捉えました。
この攻撃の規模と速度は、現代のサイバー脅威が持つ破壊的な可能性を改めて浮き彫りにしています。Check Pointは、自社のセキュリティインフラを通じて既に数万件の悪用試行を阻止しており、この脆弱性の深刻さと多層防御の重要性を強調しています。2026年1月7日には、Check Point Researchがこの活発な悪用キャンペーンをCISA(米国サイバーセキュリティ・インフラセキュリティ庁)に報告し、同日中にこの脆弱性は「既知の悪用済み脆弱性(KEV)カタログ」に追加され、その緊急性が公式に認められました。
組織にとって、この事態は単なる技術的な警告に留まりません。HPE OneViewが広範なITインフラ管理に利用されていることを鑑みると、その影響は多岐にわたる産業に及ぶ可能性があります。今回の事件は、脆弱性の公開から大規模な悪用までの時間が極めて短縮されている現状を示しており、企業が迅速な対応を取ることの喫緊の必要性を強く訴えかけています。
サイバーセキュリティの専門家たちは、この種の攻撃が今後も増加する可能性を指摘しており、組織は自社のデジタル資産を保護するために、より積極的かつ包括的なセキュリティ戦略を講じる必要に迫られています。RondoDoxボットネットの活動は、未パッチのシステムが常に攻撃者の標的となるという厳しい現実を突きつけています。
標的となったHPE OneViewの技術的深層
HPE OneViewは、コンピューティング、ストレージ、ネットワークリソースの管理を自動化するITインフラ管理プラットフォームであり、その広範な利用が今回の脆弱性の影響を一層深刻なものにしています。2025年12月16日、Hewlett Packard Enterprise(HPE)は、セキュリティ研究者Nguyen Quoc Khanh氏によって報告された、このプラットフォームに存在する致命的なリモートコード実行脆弱性CVE-2025-37164に関するアドバイザリを公開しました。
この脆弱性は、`id-pools`機能に関連する公開された`executeCommand` REST APIエンドポイントに潜んでいます。このエンドポイントは、攻撃者から提供された入力を認証や認可のチェックなしに受け入れ、基盤となるオペレーティングシステムのランタイムを介して直接実行してしまうという致命的な欠陥を抱えていました。これにより、攻撃者は影響を受けるシステム上でリモートから任意のコードを実行する直接的な経路を手に入れることになります。
Techzine Globalの報道によれば、この脆弱性は最高のCVEスコアを獲得しており、認証されていない攻撃者が直接コードを実行できるという点で、その危険性が極めて高いと評価されています。このような特性は、攻撃者が初期アクセスを確立し、システムを完全に掌握するための理想的な足がかりとなり得ます。HPE OneViewのような基幹システムにおけるリモートコード実行の脆弱性は、企業全体のITインフラに対する壊滅的な影響をもたらす可能性を秘めています。
この技術的な欠陥は、ITインフラの自動化と管理の利便性の裏側に潜む、潜在的なセキュリティリスクを浮き彫りにしています。管理プラットフォームが持つ広範なアクセス権限と、それを悪用されうる脆弱性の組み合わせは、サイバー攻撃者にとって非常に魅力的な標的となるのです。組織は、このような基盤となる管理ツールに対するセキュリティ対策を最優先事項として見直す必要があります。
RondoDoxボットネット:新たな脅威のプロフィール
今回のHPE OneViewへの大規模攻撃の背後にいるのは、RondoDoxと名付けられた新興のLinuxベースのボットネットです。RondoDoxは、インターネットに接続されたIoTデバイスやウェブサーバーを主な標的とし、分散型サービス拒否(DDoS)攻撃や暗号通貨マイニングといった悪意ある活動を行うことで知られています。このボットネットが公に初めて特定されたのは2025年半ばであり、それ以来、急速にその活動範囲を拡大してきました。
Check Point Researchの分析によると、RondoDoxは特に、React2Shell(CVE-2025-55182)のような高プロファイルの脆弱性を積極的に悪用する傾向があります。その活動は、未パッチのエッジデバイスや境界インフラに焦点を当てており、今回のCVE-2025-37164の悪用も、この明確なパターンに完全に合致しています。これは、RondoDoxが常に新たな脆弱性を探し、迅速に悪用する能力を持っていることを示唆しています。
RondoDoxの攻撃手法は、特定のユーザーエージェント文字列や、リモートホストからRondoDoxマルウェアをダウンロードするためのコマンドなど、特徴的な要素に基づいて特定されました。このような自動化された、ボットネット主導の攻撃は、一度脆弱性が公開されると、その悪用が瞬く間に広がる現代の脅威ランドスケープの典型的な例と言えるでしょう。攻撃者は、脆弱なシステムを迅速にスキャンし、感染を拡大させるための洗練されたインフラを構築しています。
このボットネットの出現は、IoTデバイスやウェブサーバーといった、しばしばセキュリティ対策が手薄になりがちな領域が、新たなサイバー犯罪の温床となっている現状を浮き彫りにしています。RondoDoxのような脅威アクターは、これらのデバイスの脆弱性を悪用して大規模なボットネットを構築し、DDoS攻撃や暗号通貨マイニングを通じて利益を得るという、明確なビジネスモデルを持っていると考えられます。組織は、自社のエッジデバイスやインターネットに公開されているサービスに対するセキュリティ監視とパッチ管理を強化することが不可欠です。
攻撃の時系列:静かな探査から大規模な爆発へ
HPE OneViewの脆弱性を巡る攻撃キャンペーンは、その展開の速さにおいて特筆すべきものです。事の発端は、2025年12月16日にHewlett Packard EnterpriseがCVE-2025-37164に関するアドバイザリを公開したことに遡ります。この情報公開を受け、Check Pointは迅速に対応し、同年12月21日にはこの脆弱性に対する緊急のQuantum侵入防止システム(IPS)保護を展開しました。
その日の夜には、Check Pointのテレメトリーによって最初の悪用試行が検出されました。初期の分析では、これらの活動は主に、概念実証(PoC)レベルの単純な悪用試行で構成されていることが示唆されていました。これは、攻撃者が脆弱性の存在を確認し、その悪用可能性をテストする段階であったと考えられます。しかし、この静かな探査期間は長くは続きませんでした。
2026年1月7日、状況は劇的に変化しました。UTC時間05:45から09:20のわずか数時間の間に、Check Point ResearchはCVE-2025-37164を悪用する40,000件を超える攻撃試行を記録しました。この爆発的な増加は、初期のPoC段階から、RondoDoxボットネットによって駆動される大規模な自動化された悪用キャンペーンへと移行したことを明確に示しています。この急激なエスカレーションは、攻撃者が脆弱性の悪用コードを完成させ、それを広範な標的に対して展開する準備が整ったことを意味します。
この時系列は、現代のサイバー脅威において、脆弱性の公開から大規模な悪用までの「ウィンドウ」がどれほど短くなっているかを如実に示しています。組織がパッチを適用する猶予期間はますます狭まっており、迅速な対応と継続的な監視が、攻撃の被害を最小限に抑える上で極めて重要であることを強調しています。この数時間の間に発生した数万件の攻撃は、RondoDoxボットネットの効率性と、脆弱なシステムを迅速に特定し悪用する能力の高さを示しています。
グローバルに広がる攻撃の足跡と標的セクター
RondoDoxボットネットによるHPE OneViewの脆弱性悪用キャンペーンは、その地理的な広がりと標的とするセクターの多様性において、広範な影響を及ぼしています。Check Point Researchが観測した活動の大部分は、オンラインで広く疑わしいと報告されている単一のオランダのIPアドレスから発信されていました。このIPアドレスは、脅威アクターが極めて活発であることをCheck Pointのテレメトリーが裏付けています。
攻撃キャンペーンは、複数のセクターにわたる組織に影響を与えました。最も高い活動集中が観測されたのは政府機関であり、次いで金融サービス、そして産業製造業が標的となりました。これらのセクターは、その運営の重要性や保有する機密データの性質から、サイバー攻撃者にとって常に魅力的な標的とされてきました。HPE OneViewのような基幹インフラ管理ツールがこれらのセクターで広く利用されていることを考えると、攻撃の潜在的な影響は計り知れません。
地理的な分布を見ると、攻撃はグローバルに展開されていました。最も高い攻撃量を経験したのは米国であり、次いでオーストラリア、フランス、ドイツ、オーストリアが続きました。この広範な地理的分布は、RondoDoxボットネットが特定の地域に限定されず、インターネットに公開された脆弱なHPE OneViewインスタンスを世界中から積極的にスキャンし、悪用しようとしていることを示しています。
このようなグローバルかつ多岐にわたるセクターへの攻撃は、サイバー脅威が国境や産業の境界を越えて広がる現代の現実を浮き彫りにしています。どの組織も、その規模や所在地に関わらず、常にサイバー攻撃の標的となり得るという認識を持つ必要があります。特に、政府機関や金融、製造といった重要インフラを担うセクターは、より一層の警戒と強固なセキュリティ対策が求められます。
HPEの声明とセキュリティ対策の緊急性
HPE OneViewの脆弱性に関する大規模な悪用が進行する中、HPEはTechzine Globalに対し、重要な声明を発表しました。HPEは、顧客から直接、脆弱性が悪用されたという報告は受けていないと述べています。さらに、この脆弱性は、脅威アクターがユーザーのネットワークへのローカルアクセスを持っている場合にのみ悪用可能であるとし、顧客に対し、ネットワーク環境で最高のセキュリティプラクティスを確実に使用するよう促しています。HPEは、この脆弱性に対するホットフィックスを2025年12月17日にリリースし、さらに強化版を2026年1月15日に公開したと付け加えています。
しかし、HPEの「ローカルアクセスが必要」という見解は、Check Point Researchが報告した「リモートコード実行」の性質や、RondoDoxボットネットがインターネットに公開されたIoTデバイスやウェブサーバーを標的としているという情報と、ある種の矛盾をはらんでいるように見えます。この食い違いは、脆弱性の悪用経路や条件に関するさらなる詳細な分析が必要であることを示唆しています。攻撃者がどのようにして「ローカルアクセス」を確立するのか、あるいは「リモートコード実行」がどのような状況下で可能になるのか、その解明が待たれます。
このような状況下で、CVE-2025-37164がCISAの既知の悪用済み脆弱性(KEV)カタログに追加された事実は、その緊急性を一層強固なものにしています。KEVカタログへの追加は、この脆弱性が既に現実世界で積極的に悪用されており、組織にとって差し迫ったリスクであることを意味します。そのため、HPE OneViewを実行している組織は、いかなる遅延も許されず、直ちにパッチを適用し、補償的コントロールを確実に導入することが求められます。
Check Pointの侵入防止システム(IPS)は、CVE-2025-37164や類似の脆弱性を悪用する試みを積極的にブロックし、情報公開からパッチ適用までの重要な期間において顧客を保護しています。Check Pointの次世代ファイアウォールにおけるIPS保護は自動的に更新されるため、顧客は脆弱なシステムに対する悪用試行から継続的に保護されるとされています。この多層的な防御アプローチは、未知の脅威や迅速に進化する攻撃キャンペーンに対して極めて有効な手段となります。
脅威の継続と多層防御の重要性
RondoDoxボットネットによるHPE OneViewの脆弱性悪用は、現代のサイバー脅威が持つ特徴を色濃く反映しています。それは、脆弱性の公開から大規模な悪用までの時間が極めて短縮されていること、そして攻撃者が常に未パッチのシステムを狙い続けているという現実です。RondoDoxが過去にReact2Shellのような高プロファイルの脆弱性を悪用してきた経緯を鑑みると、今後も新たな脆弱性が公開されるたびに、同様の迅速な悪用が試みられる可能性が高いと予測されます。
この継続的な脅威に直面する組織にとって、最も重要なのは、単一のセキュリティ対策に依存するのではなく、多層的な防御戦略を構築することです。即座のパッチ適用はもちろんのこと、侵入防止システム(IPS)やエンドポイント保護、そして継続的なセキュリティ監視といった複数のレイヤーで防御を固めることが不可欠です。特に、HPE OneViewのようなITインフラの根幹をなす管理プラットフォームは、その影響範囲の広さから、最も厳重な保護が求められます。
また、組織は、CISAのKEVカタログのような信頼できる情報源を常に監視し、自社の環境に影響を及ぼす可能性のある脆弱性について、最新の情報を迅速に入手し、対応する体制を整える必要があります。脅威インテリジェンスの活用は、攻撃者の手口や標的の傾向を理解し、先手を打った防御策を講じる上で不可欠な要素となります。RondoDoxのようなボットネットは、その性質上、広範なスキャンと自動化された攻撃を特徴とするため、組織は自社のインターネットに公開されている資産の可視性を高め、脆弱性管理プロセスを強化することが急務です。
最終的に、今回の事件は、サイバーセキュリティが単なる技術的な問題ではなく、組織の事業継続性とレピュテーションに直結する経営課題であることを改めて示しています。迅速な情報共有、即時的な対応、そして継続的なセキュリティ体制の強化が、RondoDoxのような進化する脅威から自社を守るための唯一の道であると言えるでしょう。セキュリティは一度行えば終わりではなく、常に変化し続ける脅威ランドスケープに適応し続ける動的なプロセスなのです。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Patch Now: Active Exploitation Underway for Critical HPE OneView Vulnerability - https://blog.checkpoint.com/research/patch-now-active-exploitation-underway-for-critical-hpe-oneview-vulnerability/
- -RondoDox botnet exploits HPE OneView vulnerability on a massive scale - https://www.techzine.eu/news/security/138004/rondodox-botnet-exploits-hpe-oneview-vulnerability-on-a-massive-scale/