セキュリティセキュリティ
2026年2月 セキュリティ情報 FileZen の脆弱性 [CVE-2026-25108]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
本年も宜しくお願いいたします。
2026年2月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(FileZen の脆弱性 [CVE-2026-25108])
情報公開日:2026/2/13
| 一次情報元(引用元) |
"Soliton Systems K.K."【重要】FileZenログオン後画面でのコマンドインジェクション脆弱性について |
| その他、情報ソース |
"IPA" 「FileZen」におけるOSコマンドインジェクションの脆弱性について(JVN#84622767) "JPCERT/CC" FileZenにおけるOSコマンドインジェクションの脆弱性(CVE-2026-25108)に関する注意喚起 "Security NEXT" ファイル転送製品「FileZen」にRCE脆弱性 - すでに悪用被害も |
| CVE番号及び深刻度 |
CVE 番号:CVE-2026-25108 深刻度:掲載無し[Critical相当と思われる] (CVSSスコア 8.7) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| 脆弱性内容 |
株式会社ソリトンシステムズは日本時間 2026年2月13日、1月にリリースしたファイル受け渡し専用アプライアンス「FileZen」のアップデートパックで修正していた脆弱性「CVE-2026-25108」の詳細について公開。 本脆弱性が悪用された場合、任意のOSコマンドが実行してしまう恐れがある。 なお、本脆弱性を使った攻撃を成立させるためには、一般ユーザー権限でログオンし細工したHTTPリクエストを送信する必要があるとのこと。 なお、当該脆弱性は既に悪用が確認されていると同社はコメントしている。 |
| 想定される影響 | 当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性がある。 |
| 影響を受ける製品 |
FileZen V5.0.0からV5.0.10までのバージョン FileZen V4.2.1からV4.2.8までのバージョン なお、FileZen Sは本脆弱性の影響を受けないとコメントしている。 詳細は「一次情報元(引用元)」のURL先をご確認ください。 |
| 解決策 | 本脆弱性を修正した最新版にアップデートを行う。 |
| コメント |
・同社製品「FileZen」はメール添付のPPAP廃止に伴い、国内企業でも多く利用されている可能性がある。もし、自社で利用している場合は利用方法(他社へ同製品へのログインを許可している等)を確認の上、対応優先度をご検討いただきたい。 ・本脆弱性はログインが必須であるため、ID/パスワードの見直しや難解なパスワードを再設定させるなどといった対策も有効である。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2026/2/3 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, February 3, 2026)" https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop.html "Chrome for Android Update (Tuesday, February 3, 2026)" https://chromereleases.googleblog.com/2026/02/chrome-for-android-update.html |
| 2026/2/4 | Movable Type | シックス・アパート株式会社は同社製品であるMovable Type に存在する複数の脆弱性を修正。
"[重要] Movable Type 9.1.0 / 9.0.6 / 8.8.2 / 8.0.9、Movable Type Premium 9.1.0 / 9.0.6 / 2.14 の提供を開始(セキュリティアップデート)" https://www.sixapart.jp/movabletype/news/2026/02/04-1100.html |
| 2026/2/4 | Google Chrome | Google 社は、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Chrome for Android Update (Wednesday, February 4, 2026)" https://chromereleases.googleblog.com/2026/02/chrome-for-android-update_0634581710.html "Chrome Stable for iOS Update (Wednesday, February 4, 2026)" https://chromereleases.googleblog.com/2026/02/chrome-stable-for-ios-update.html |
| 2026/2/10 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2026/2/10 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性(情報公開されている脆弱性含む)6件も修正されている。
"2026 年 2 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2026-Feb "2026 年 2 月のセキュリティ更新プログラム (月例)" https://www.microsoft.com/en-us/msrc/blog/2026/02/202602-security-update/ 悪用が確認されている脆弱性 "Microsoft Word のセキュリティ機能のバイパスの脆弱性 - CVE-2026-21514" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21514 "Windows シェル セキュリティ機能のバイパスの脆弱性 - CVE-2026-21510" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21510 "MSHTML Framework Security Feature Bypass Vulnerability - CVE-2026-21513" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21513 "デスクトップ ウィンドウ マネージャーの特権の昇格の脆弱性 - CVE-2026-21519" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21519 "Windows リモート デスクトップ サービスの特権昇格の脆弱性 - CVE-2026-21533" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21533 "Windows リモート アクセス接続マネージャーのサービス拒否の脆弱性 - CVE-2026-21525" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21525 |
| 2026/2/11 | Apple 社複数製品 | Apple 社は、複数製品のセキュリティUpdate を公開。一部製品では特定の個人を標的とした攻撃で悪用された可能性があると報告を受けた脆弱性も修正されている。
悪用された可能性があると報告を受けた脆弱性修正を含んだもの "About the security content of iOS 26.3 and iPadOS 26.3" https://support.apple.com/en-il/126346 "About the security content of macOS Tahoe 26.3" https://support.apple.com/en-il/126348 "About the security content of macOS Sequoia 15.7.4" https://support.apple.com/en-il/126349 "About the security content of tvOS 26.3" https://support.apple.com/en-il/126351 "About the security content of watchOS 26.3" https://support.apple.com/en-il/126352 "About the security content of visionOS 26.3" https://support.apple.com/en-il/126353 |
| 2026/2/10~12 | Google Chrome | Google 社は、デスクトップ向け安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。
"Stable Channel Update for Desktop (Tuesday, February 10, 2026)" https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_10.html "Stable Channel Update for Desktop (Thursday, February 12, 2026)" https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_12.html "Chrome for Android Update (Tuesday, February 10, 2026)" https://chromereleases.googleblog.com/2026/02/chrome-for-android-update_0244192686.html "Chrome Stable for iOS Update (Wednesday, February 11, 2026)" https://chromereleases.googleblog.com/2026/02/chrome-stable-for-ios-update_0130759165.html |
| 2026/2/12 | PHPの複数バージョン | PHPの複数バージョン「 8.4.18」「8.5.3」をリリース。
"ChangeLog - Version 8.4.18" https://www.php.net/ChangeLog-8.php#8.4.18 "ChangeLog - Version 8.5.3" https://www.php.net/ChangeLog-8.php#8.5.3 |
| 2026/2/13 | Google Chrome | Google 社は、デスクトップ向け安定版(拡張安定化版含む)Google Chrome のアップデートを公開。悪用が確認された脆弱性も修正されている。
"Stable Channel Update for Desktop (Friday, February 13, 2026)" https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html "Extended Stable Updates for Desktop (Friday, February 13, 2026)" https://chromereleases.googleblog.com/2026/02/extended-stable-updates-for-desktop_13.html |
| 2026/2/24 | Mozilla Thunderbird /Firefox /Firefox ESR | Mozilla 社はThunderbird /Firefox /Firefox ESR のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても修正されている。
"Mozilla Foundation Security Advisory 2026-17 Security Vulnerabilities fixed in Thunderbird 140.8" https://www.mozilla.org/en-US/security/advisories/mfsa2026-17/ "Mozilla Foundation Security Advisory 2026-16 Security Vulnerabilities fixed in Thunderbird 148" https://www.mozilla.org/en-US/security/advisories/mfsa2026-16/ "Mozilla Foundation Security Advisory 2026-15 Security Vulnerabilities fixed in Firefox ESR 140.8" https://www.mozilla.org/en-US/security/advisories/mfsa2026-15/ "Mozilla Foundation Security Advisory 2026-14 Security Vulnerabilities fixed in Firefox ESR 115.33" https://www.mozilla.org/en-US/security/advisories/mfsa2026-14/ "Mozilla Foundation Security Advisory 2026-13 Security Vulnerabilities fixed in Firefox 148" https://www.mozilla.org/en-US/security/advisories/mfsa2026-13/ |
注目したインシデント
2026年1月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2026/1/30 | 情報・通信業 | 外部との不正通信 | サーバが外部との不正通信をしていることを検知。調査中であるとコメント。 |
| 2026/1/30 | 医療機器 | ホームページへの不正アクセス | 自社ホームページが不適切なサイトへリダイレクトされていることが判明。調査した結果、サーバ内に不正なファイルの設置を確認。 |
| 2026/1/30 第二報 | ソフトウェア開発 | 社内ネットワークへの不正アクセス | 更なる調査を行った結果、アップデート対応不備があったファイアウォールの脆弱性を突かれ、VPN経由で侵入された可能性が高いことが判明した。 |
| 2026/2/2 | 大学 | メール誤送信によるメールアドレス流出 | BCCに入力すべきところをTOでメール送信してしまったとのこと。 |
| 2026/2/5 | 金属表面処理・加工業 | サイト改ざん | 同社サイト内の一部情報書き換えや不審なページが多数生成され、不自然にアクセス数が増加していることを確認しているとコメント。 |
| 2026/2/5 第二報 | 食品 | 設定不備による個人情報漏えい | 個人情報漏えいはCDN の設定漏れとキャンペーンページの不備が原因であったとのこと。 |
| 2026/2/9 | 製造/販売 | サポート詐欺による不正送金 | 社員が騙され、複数の遠隔操作ソフトをインストールしてしまい、端末を遠隔操作され、オンラインバンキング経由で不正な送金が行われた。 |
| 2026/2/12 | サービス業 | ランサムウェア被害による個人情報漏えいの可能性 | 原因は業務用システムの外部アクセス用に設置していたネットワークルーター設定及びセキュリティ上の不備と説明している。 |
| 2026/2/17 | 航空業 | オペレーションミスによるシステム障害及びログ改ざん | オペレーションミスの発覚を恐れ、ログを改ざんしていたとのこと。 |
