HPE OneViewという重要なITインフラ管理プラットフォームに潜んでいた致命的な脆弱性「CVE-2025-37164」が、現在、大規模なサイバー攻撃の標的となっている。Check Point Researchの分析によると、このリモートコード実行(RCE)の脆弱性を悪用しているのは、悪名高いRondoDoxボットネットであり、その攻撃は数万回に及ぶ自動化された試行へと急速にエスカレートしているという。この事態は、企業が直面するサイバー脅威の深刻さと、多層的な防御戦略の喫緊の必要性を浮き彫りにしている。
Check Point Researchは、この活発な攻撃キャンペーンを直接観測し、2026年1月7日にはCISA(サイバーセキュリティ・インフラセキュリティ庁)に報告。同日中にこの脆弱性は「既知の悪用された脆弱性(KEV)カタログ」に追加され、その危険性が公的に認められた。これは、単なる概念実証(PoC)段階から、現実世界での大規模な悪用へと移行する速度が驚異的であることを示している。
この脆弱性は、計算、ストレージ、ネットワークリソースの管理を自動化するHPE OneViewの広範な利用状況を鑑みると、その影響範囲は計り知れない。政府機関、金融サービス、産業製造業といった多岐にわたるセクターが標的となり、米国を筆頭にオーストラリア、フランス、ドイツ、オーストリアなど、世界中の組織が攻撃の波に晒されている。
RondoDoxボットネットは、インターネットに接続されたIoTデバイスやウェブサーバーを狙うLinuxベースの脅威として知られており、分散型サービス拒否(DDoS)攻撃や仮想通貨マイニングを主な活動としている。今回のHPE OneViewの脆弱性悪用は、同ボットネットが未パッチのエッジおよび境界インフラに焦点を当てるという、その典型的な攻撃パターンと完全に一致している。この緊急事態は、組織に対し、即座のパッチ適用と防御策の強化を強く促すものだ。
潜んでいた致命的な脆弱性:CVE-2025-37164の深層
今回、RondoDoxボットネットに悪用された「CVE-2025-37164」は、HPE OneViewプラットフォームにおける極めて深刻なリモートコード実行の脆弱性である。この脆弱性は、セキュリティ研究者Nguyen Quoc Khanh氏によって報告され、2025年12月16日にHewlett Packard Enterprise(HPE)がアドバイザリを公開した。CVSS 3.1スコアで最高の「10」を記録したことからも、その危険性の高さがうかがえる。
HPE OneViewは、企業のITインフラストラクチャ管理を効率化するための基盤であり、計算、ストレージ、ネットワークといった多岐にわたるリソースの自動管理を可能にする。そのため、多くの組織で広範に利用されており、その脆弱性が悪用された場合の影響は甚大となる。攻撃者は、このプラットフォームを介して、企業の根幹をなすシステムにまで侵入する足がかりを得る可能性があるのだ。
この脆弱性の核心は、「id-pools」機能に関連する公開された「executeCommand」REST APIエンドポイントに存在する。このエンドポイントは、認証や認可のチェックなしに攻撃者から提供された入力を受け入れ、それを基盤となるオペレーティングシステムランタイムを介して直接実行してしまう。これにより、認証されていない攻撃者でも、影響を受けるシステム上で任意のコードをリモートで実行できる直接的な経路が提供されてしまうのである。
HPEは、この脆弱性に対応するため、2025年12月17日に最初のホットフィックスをリリースし、さらに2026年1月15日には強化版のホットフィックスを公開している。しかし、Techzineの報道によれば、HPEは顧客から直接的な悪用報告を受けていないと述べており、この脆弱性は脅威アクターがユーザーのネットワークにローカルアクセスできる場合にのみ悪用可能であると強調している。企業は、ネットワーク環境における最善のセキュリティプラクティスを確実に適用するよう強く推奨されている。
攻撃の急転直下:4万回超の試行が示す脅威の規模
Check Point Researchは、CVE-2025-37164に対する攻撃活動が、初期の探索段階から劇的なエスカレーションを遂げたことを詳細に報告している。2025年12月21日、Check Pointが緊急のQuantum侵入防御システム(IPS)保護を展開したその日の夜には、すでに最初の悪用試行が検出されていた。当初は単純な概念実証(PoC)の試行が主であったが、これは嵐の前の静けさに過ぎなかった。
事態が急変したのは2026年1月7日である。この日、UTCの05:45から09:20までのわずか3時間35分の間に、Check Point ResearchはCVE-2025-37164を悪用する40,000回以上の攻撃試行を記録した。この分析は、これらの試行が自動化された、ボットネット主導の悪用であることを明確に示している。この驚異的な攻撃速度と規模は、脅威アクターの高度な組織力と、脆弱性悪用に対する準備の周到さを物語っている。
攻撃活動の大部分は、オンラインで広く不審なものとして報告されている単一のオランダのIPアドレスから発信されていた。Check Pointのテレメトリーデータは、この脅威アクターが極めて活発であることを裏付けている。この集中した攻撃源は、RondoDoxボットネットの指揮系統が特定のインフラストラクチャに依存している可能性を示唆しており、その活動の追跡と封じ込めにおいて重要な手がかりとなる。
このキャンペーンは、世界中の多岐にわたるセクターの組織に影響を及ぼした。最も高い攻撃集中度が見られたのは政府機関であり、次いで金融サービス、そして産業製造業が続いた。地理的には、米国が最も多くの攻撃量を経験し、オーストラリア、フランス、ドイツ、オーストリアがそれに続いた。この広範な標的設定は、RondoDoxボットネットが特定の業界や地域に限定されず、脆弱なHPE OneViewシステムを持つあらゆる組織を無差別に狙っていることを示している。
闇を這うRondoDoxボットネットの正体
今回のHPE OneViewに対する大規模攻撃の背後にいるのは、RondoDoxと呼ばれる新興のLinuxベースのボットネットである。このボットネットは2025年半ばに初めて公に特定されて以来、その活動範囲を急速に拡大している。Check Point Researchの分析によれば、RondoDoxは、インターネットに接続されたIoTデバイスやウェブサーバーを主な標的とし、分散型サービス拒否(DDoS)攻撃や仮想通貨マイニングといった悪質な活動を展開している。
RondoDoxの攻撃戦略は、特に未パッチのエッジおよび境界インフラストラクチャに焦点を当てるという特徴がある。これは、企業ネットワークの最前線に位置し、しばしばセキュリティパッチの適用が遅れがちなデバイスを狙うことで、容易な侵入経路を確保しようとする意図を示している。今回のCVE-2025-37164の悪用は、まさにこのパターンに直接合致しており、RondoDoxが常に最新の、影響力の高い脆弱性を積極的に探索し、悪用していることを裏付けている。
過去の事例として、RondoDoxは2025年12月に明らかになったReact2Shell(CVE-2025-55182)のような高プロファイルな脆弱性も積極的に悪用していたことが確認されている。この一貫した行動様式は、RondoDoxが単なる機会主義的な攻撃者ではなく、特定の技術的弱点を体系的に狙う、組織化された脅威アクターであることを示唆している。彼らは、脆弱性が公開されてからパッチが適用されるまでの「危険な窓」を最大限に利用しようと画策しているのだ。
Check Point Researchは、攻撃時に観測された特徴的なユーザーエージェント文字列と、リモートホストからRondoDoxマルウェアをダウンロードするよう設計されたコマンドに基づいて、今回の活動をRondoDoxボットネットに帰属させている。このような明確な識別子は、サイバーセキュリティコミュニティが脅威アクターの行動パターンを理解し、将来の攻撃に対する防御策を講じる上で不可欠な情報となる。RondoDoxの継続的な脅威は、組織が常に警戒を怠らず、迅速なパッチ適用と監視体制の強化が求められることを示唆している。
企業とCISAの緊急対応:パッチとKEVリストへの登録
HPE OneViewの脆弱性「CVE-2025-37164」に対する大規模な悪用が確認されたことを受け、サイバーセキュリティ業界と政府機関は迅速な対応を迫られた。Check Point Researchは、2025年12月21日には既にこの脆弱性に対する緊急のQuantum侵入防御システム(IPS)保護を展開しており、初期の悪用試行を検出したその日のうちに防御策を講じていた。これは、脅威の早期発見と迅速な対応がいかに重要であるかを示す好例と言えるだろう。
さらに、Check Point Researchは、2026年1月7日に観測された攻撃の劇的なエスカレーションを受けて、同日中にCISA(サイバーセキュリティ・インフラセキュリティ庁)にこのキャンペーンを報告した。CISAは、その日のうちにCVE-2025-37164を「既知の悪用された脆弱性(KEV)カタログ」に追加した。KEVカタログへの登録は、その脆弱性が実際に悪用されており、組織にとって現実的なリスクをもたらしていることを意味するため、即座のパッチ適用が強く推奨される。
HPE自身も、この脆弱性に対する対応を進めている。2025年12月17日に最初のホットフィックスをリリースした後、2026年1月15日にはさらに強化されたバージョンのホットフィックスを提供した。しかし、HPEはTechzineやInfosecurity Magazineへの声明で、「顧客から脆弱性が悪用されたという直接の報告は受けていない」と述べている。また、この脆弱性は「脅威アクターがユーザーのネットワークにローカルアクセスできる場合にのみ悪用可能」であると強調し、顧客に対してネットワーク環境での最善のセキュリティプラクティスを確実に適用するよう促している。
このHPEの声明は、攻撃の性質に関する重要な視点を提供する。RondoDoxボットネットによる大規模な自動化されたスキャンと悪用試行が確認されている一方で、HPEは直接的な顧客被害報告がないと主張している。この乖離は、攻撃が主に初期の偵察や脆弱なシステムの特定を目的としている可能性、あるいはHPE OneViewが外部に直接公開されていない環境での悪用が主である可能性を示唆している。いずれにせよ、CISAのKEVリストへの登録は、この脆弱性がもはや理論上の脅威ではなく、現実世界でのリスクであることを明確に示している。
多層防御の重要性と今後の教訓
HPE OneViewのCVE-2025-37164に対するRondoDoxボットネットによる大規模な悪用は、現代のサイバー脅威が持つ速度と破壊力を改めて浮き彫りにした。脆弱性が公開されてからわずか数週間で、概念実証から数万回に及ぶ自動化された攻撃へと移行したこの事例は、組織がパッチ適用と防御策の展開に遅れをとる余裕がないことを明確に示している。特に、ITインフラの根幹を担う管理プラットフォームが標的となる場合、その影響は広範囲に及び、事業継続に深刻な打撃を与える可能性がある。
Check Pointのようなセキュリティベンダーが提供する多層防御の重要性も、この事件を通じて再確認された。Check Pointの侵入防御システム(IPS)は、CVE-2025-37164のような脆弱性に対する悪用試行を積極的にブロックし、脆弱性が公開されてからパッチが適用されるまでの「クリティカルな期間」において顧客を保護した。IPS保護が自動的に更新される仕組みは、組織が常に最新の脅威から守られるための不可欠な要素である。
この事件から得られる教訓は多岐にわたる。第一に、迅速なパッチ管理はもはや選択肢ではなく、必須のセキュリティ対策である。CISAのKEVカタログに登録された脆弱性は、即座に対応すべき最優先事項として扱われるべきだ。第二に、包括的な脅威インテリジェンスの活用が不可欠である。RondoDoxのような新興ボットネットの活動パターンや標的を理解することで、組織はより効果的な予防策を講じることができる。
最後に、HPEの声明が示唆するように、たとえ脆弱性が「ローカルアクセス」を前提としていても、それが攻撃を完全に防ぐ保証にはならない。攻撃者は、他の初期侵入経路(フィッシング、別の脆弱性など)を通じてネットワーク内部に足がかりを築き、そこからHPE OneViewのような内部システムを悪用する可能性がある。したがって、境界防御だけでなく、ゼロトラスト原則に基づいた内部ネットワークのセグメンテーションと監視、そして従業員のセキュリティ意識向上が、今後ますます重要となるだろう。この事件は、絶え間ない警戒と適応が求められるサイバーセキュリティの現実を、改めて私たちに突きつけている。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Patch Now: Active Exploitation Underway for Critical HPE OneView Vulnerability - Check Point Blog - https://blog.checkpoint.com/research/patch-now-active-exploitation-underway-for-critical-hpe-oneview-vulnerability/
- -RondoDox botnet exploits HPE OneView vulnerability on a massive scale - Techzine Global - https://www.techzine.eu/news/security/138004/rondodox-botnet-exploits-hpe-oneview-vulnerability-on-a-massive-scale/
- -RondoDox Botnet Targets HPE OneView Vulnerability in Exploitation Wave - Infosecurity Magazine - https://www.infosecurity-magazine.com/news/rondodox-botnet-targets-hpe/