GMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)(※1)は、2026年1月29日、外部公開IT資産を自動で棚卸し・可視化するアタックサーフェス(※2)(Attack Surface Management、以下ASM)ツール「GMOサイバー攻撃 ネットde診断 ASM」をアップデートし、Fortinet社が提供するセキュリティ情報管理・イベント管理(SIEM)製品「FortiSIEM」に存在する深刻な脆弱性「CVE-2025-64155」に関する診断項目を追加しました。本脆弱性は、OSコマンドインジェクション(※3)に起因するものであり、認証を必要とせず外部から任意のコード実行(RCE)(※4)が可能となるおそれがあります。
本アップデートにより、「GMOサイバー攻撃 ネットde診断 ASM」の利用者は、「FortiSIEM」の深刻な脆弱性(CVE-2025-64155)を早期に把握し、自組織の攻撃面におけるリスク状況の可視化、パッチ適用やネットワーク制御、監視強化など、優先度を踏まえた対策方針の検討を迅速に行うことが可能になります。
GMOサイバーセキュリティは今後も、実際の攻撃動向や悪用可能性を踏まえたASM機能の強化を通じて、企業・組織のサイバーリスク低減を支援してまいります。
(※1)GMOサイバーセキュリティ byイエラエ株式会社はGMOインターネットグループ株式会社の連結会社です。
(※2)インターネットに公開されているサーバーやネットワーク機器などIT資産の情報を収集・分析することにより、不正侵入経路となりうる脆弱性やそのリスクを検出・評価する取り組みのこと。
(※3)OSコマンドインジェクションとは、システムが受け取った入力を適切に確認せず処理してしまうことで、攻撃者がサーバー上で本来想定されていない操作を実行できてしまう脆弱性のこと。
(※4)未認証のリモートコード実行(Unauthenticated Remote Code Execution / RCE)とは、認証を行わずに外部から任意のプログラムやコマンドを実行できる脆弱性のこと。
【「FortiSIEM」の未認証リモートコード実行につながる深刻な脆弱性(CVE-2025-64155)】
2026年1月13日に公開された本脆弱性(CVE-2025-64155)は、Fortinet社が提供するセキュリティ情報管理・イベント管理(SIEM)製品「FortiSIEM」に存在する深刻な脆弱性で、CVSSスコア(※5)も9.8(Critical)と非常に危険性が高い脆弱性です。本脆弱性は、認証を必要とせず外部から任意のコードを実行される可能性があります。攻撃者に悪用された場合、対象システムの完全な制御を許し、システム環境や構成次第では多様な攻撃に悪用されるおそれがあります。
「FortiSIEM」は、世界で数十万を超えるビジネス顧客基盤を持つFortinet社のセキュリティソリューションの中核的製品として広く利用されており、日本国内においても基幹システムの運用環境を含む多様な企業・組織での利用が進んでいます。「FortiSIEM」は、企業や組織におけるセキュリティ監視の中核を担う基盤であることから、脆弱性を悪用された場合の影響は広範に及び、事業継続に重大な影響を及ぼすことが想定されます。具体的には、以下のようなリスクが考えられます。
- ・ログや証跡の欠損・改ざんによる、インシデント調査や原因究明の困難化
- ・証跡の欠損により、コンプライアンス対応や監査要件を満たせない期間が発生するリスク
- ・原因究明や対外説明の遅延による、復旧プロセスへの影響
- ・基幹システム侵害、ランサムウェア被害、情報漏えい等の二次被害
(※5)ソフトウェアやシステムに存在する「脆弱性(セキュリティ上の欠陥)」の深刻度を、0.0から10.0の数値で表す国際的な標準指標
【「GMOサイバー攻撃 ネットde診断 ASM」アップデート概要】
「GMOサイバー攻撃 ネットde診断 ASM」では、「FortiSIEM」の深刻な脆弱性「未認証リモートコード実行につながる深刻な脆弱性(CVE-2025-64155)」への対応として、新たに以下の診断項目を追加しました。今回のアップデートにより、「GMOサイバー攻撃 ネットde診断 ASM」は、外部に公開されたIT資産の中から「FortiSIEM」の該当の脆弱性(CVE-2025-64155)が残存するバージョンの利用を検知した場合に、指摘事項および対策を通知します。これにより、利用者は自組織の攻撃面におけるリスク状況を早期に把握し、パッチ適用やネットワーク制御、監視強化など、優先度を踏まえた対策方針の検討を迅速に行うことが可能になります。
| 「CVE-2025-64155」の検知 (既知の脆弱性が存在する ソフトウェアの利用) | 「FortiSIEM」の該当の脆弱性(CVE-2025-64155)が残存するバージョンの利用を検知した場合に、指摘事項および対策を通知します。 |
【「GMOサイバー攻撃 ネットde診断 ASM」について】
(https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/)
「GMOサイバー攻撃ネットde診断 ASM」は、簡単かつ直感的に使用が可能なセキュリティプラットフォームです。国産ASMツールとして培ってきた「IT資産の棚卸しとリスク可視化」の強みを活かしながらも、ASMツールの枠にとどまらず「複雑化するセキュリティ運用をシンプルにし、“何から対策すべきか”を可視化する」というビジョンの実現を目指しています。セキュリティ知識を問わず、お客様が最も優先すべき対策を一目で把握できるよう導きます。
【GMOサイバーセキュリティ byイエラエについて】
(https://gmo-cybersecurity.com/)
GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。会社理念である「人を助ける信念を守るチカラに変えていく」ために今後も最先端の技術と実践的な教育を通じて、日本のサイバーセキュリティの強化に貢献していきます。また、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。
