平素は、弊社たよれーるサービスをご利用いただき、誠にありがとうございます。
このたび、以下の製品において複数の脆弱性が確認されましたので、お知らせいたします。
- Trend Micro Apex One
- Trend Micro Apex One SaaS
- Trend Vision One™ Endpoint Security - Standard Endpoint Protection
なお、これらの脆弱性のうち一部については、実際の攻撃に悪用された事例が確認されております。お客様におかれましては、以下の内容をご確認のうえ、必要な対応をご検討くださいますようお願い申し上げます。
※管理コンソールを外部公開していない環境では、影響を受ける可能性は低いと考えられます。
■ 対象製品と状況
- Trend Micro Apex One
→ 修正ツール「FixTool_Aug2025」の適用が必要です。
- Trend Micro Apex One SaaS / Standard Endpoint Protection
→ 影響を受けたバックエンドコンポーネントには、2025年7月31日に緩和策が適用済みです。情報提供のみを目的として記載しています。
※本脆弱性は、「ワンコインビジネスセキュリティサービス」および「セキュリティワンコインサービス」には該当いたしません。これらのサービスをご利用のお客様におかれましては、対応の必要はございません。
■ 脆弱性の詳細
以下の脆弱性が確認されています。詳細は下記URLをご参照ください。
脆弱性情報(Trend Micro公式)
- CVE-2025-54948
管理コンソールに対するコマンドインジェクションにより、認証前の攻撃者が悪性コードをアップロード・実行できる可能性があります。
※この脆弱性は実際の攻撃に利用されたことが確認されています。
- CVE-2025-54987
上記と同様の脆弱性で、異なるCPUアーキテクチャを対象とした攻撃です。
■ 対応方法
【Apex Oneをご利用のお客様】
修正ツール「FixTool_Aug2025」の適用をお願いいたします。
修正ツールのダウンロードはこちら
※本ツールは短期的な緩和策です。適用後は管理コンソールのリモートインストール機能が利用できなくなります。
※正式な修正プログラムは2025年8月中旬に公開予定です。
【Apex One SaaS / Standard Endpoint Protectionをご利用のお客様】
2025年7月31日に緩和策が適用済みのため、お客様による対応は不要です。
■ 追加情報・参考リンク
【注意喚起】弊社製品の脆弱性を悪用した攻撃に関する情報
サポート情報ページ
本脆弱性を悪用するには、攻撃者が対象端末にアクセスできる必要があります。信頼されたネットワークからのみ管理コンソールへのアクセスを許可することで、リスクを軽減することが可能です。
ご不明点がございましたら、弊社サポート窓口までお問い合わせください。
今後とも弊社製品をご愛顧賜りますよう、よろしくお願い申し上げます。
