※8/18追記 本脆弱性の正式な修正であるCritical Patch (build 14081)が、8月18日に公開されました。
平素は、弊社たよれーるサービスをご利用いただき、誠にありがとうございます。
このたび、以下の製品において複数の脆弱性が確認されましたので、お知らせいたします。
- Trend Micro Apex One
- Trend Micro Apex One SaaS
- Trend Vision One™ Endpoint Security - Standard Endpoint Protection
なお、これらの脆弱性のうち一部については、実際の攻撃に悪用された事例が確認されております。お客様におかれましては、以下の内容をご確認のうえ、必要な対応をご検討くださいますようお願い申し上げます。
※管理コンソールを外部公開していない環境では、影響を受ける可能性は低いと考えられます。
■ 対象製品と状況
- Trend Micro Apex One
→ 修正プログラムCritical Patch (build 14081)の適用が必要です。
- Trend Micro Apex One SaaS / Standard Endpoint Protection
→ 影響を受けたバックエンドコンポーネントには、2025年7月31日に緩和策が適用済みです。情報提供のみを目的として記載しています。
※本脆弱性は、「ワンコインビジネスセキュリティサービス」および「セキュリティワンコインサービス」には該当いたしません。これらのサービスをご利用のお客様におかれましては、対応の必要はございません。
■ 脆弱性の詳細
以下の脆弱性が確認されています。詳細は下記URLをご参照ください。
脆弱性情報(Trend Micro公式)
- CVE-2025-54948
管理コンソールに対するコマンドインジェクションにより、認証前の攻撃者が悪性コードをアップロード・実行できる可能性があります。
※この脆弱性は実際の攻撃に利用されたことが確認されています。
- CVE-2025-54987
上記と同様の脆弱性で、異なるCPUアーキテクチャを対象とした攻撃です。
■ 対応方法
【Apex Oneをご利用のお客様】
本脆弱性に対応した修正プログラムが公開されております。
適用をされていない場合、早期に最新の修正プログラムの適用をお願いいたします。
ご使用のバージョン、ビルド情報の確認方法については、下記のFAQをご参照ください。
●Trend Micro Apex Oneの製品情報 (ビルド) 確認方法
<https://success.trendmicro.com/ja-JP/solution/KA-0001169>
●Trend Micro Apex One 2019 Critical Patch (build 14081)
修正モジュールダウンロード
<https://downloadcenter.trendmicro.com/index.php?regs=jp&prodid=1752>
●Readme
<https://files.trendmicro.com/jp/ucmodule/apexone/win/2019/sp1/apex_one_2019_win_cp_b14081_JP_hotfix_Readme.html>
【Apex One SaaS / Standard Endpoint Protectionをご利用のお客様】
2025年7月31日に緩和策が適用済みのため、お客様による対応は不要です。
■ 追加情報・参考リンク
【注意喚起】弊社製品の脆弱性を悪用した攻撃に関する情報
サポート情報ページ
本脆弱性を悪用するには、攻撃者が対象端末にアクセスできる必要があります。信頼されたネットワークからのみ管理コンソールへのアクセスを許可することで、リスクを軽減することが可能です。
ご不明点がございましたら、弊社サポート窓口までお問い合わせください。
今後とも弊社製品をご愛顧賜りますよう、よろしくお願い申し上げます。
