GMOサイバーセキュリティ byイエラエ、「GMOサイバー攻撃 ネットde診断 ASM」でReact.js、Oracle EBS、SAPの深刻な脆弱性に緊急対応
GMOインターネットグループのGMOサイバーセキュリティ byイエラエは2025年12月に、外部公開IT資産を自動で棚卸し・可視化するアタックサーフェスマネジメント(Attack Surface Management、以下ASM)ツール「GMOサイバー攻撃 ネットde診断 ASM」をアップデートしました。
12月3日にはJavaScriptライブラリ「React.js」に存在する深刻なリモートコード実行の脆弱性「React2Shell」の検知に対応。12月9日には「Oracle E-Business Suite(以下、Oracle EBS)」および「SAP NetWeaver」の利用そのものや本脆弱性が悪用される可能性のある機能を検知した場合に、深刻な脆弱性が存在する可能性を通知する診断項目を追加しました。
12月3日にはJavaScriptライブラリ「React.js」に存在する深刻なリモートコード実行の脆弱性「React2Shell」の検知に対応。12月9日には「Oracle E-Business Suite(以下、Oracle EBS)」および「SAP NetWeaver」の利用そのものや本脆弱性が悪用される可能性のある機能を検知した場合に、深刻な脆弱性が存在する可能性を通知する診断項目を追加しました。
悪用が確認されているJavaScriptライブラリ「React.js」の脆弱性に対応
12月3日のアップデートでは、JavaScriptライブラリ「React.js」に存在する深刻なリモートコード実行の脆弱性「React2Shell(CVE-2025-55182)」の検知に対応しました。攻撃者がこの脆弱性を悪用すると、対象システム上で任意のコードを実行できるだけでなく、完全な制御を奪うことが可能となります。ソフトウェアやシステムの脆弱性深刻度を評価する国際的な指標「CVSSスコア(Common Vulnerability Scoring System)」は最高値の10.0で、既にサイバー攻撃での悪用も確認されている非常に危険な脆弱性です。
ランサムウェア攻撃につながるOracle EBSとSAPの深刻な脆弱性に対応
12月9日のアップデートでは、基幹システム向けの「Oracle EBS」および、SAPが基幹システム基盤として提供するSAP製品群の一部「SAP NetWeaver」の利用そのものと本脆弱性が悪用される可能性のある機能を検知した場合に、深刻な脆弱性が存在する可能性を通知する診断項目を追加しました。
認証不要で任意コード実行が可能な「Oracle E-Business Suite」の脆弱性に対応
2025年10月5日に公開されたOracle EBSの脆弱性CVE-2025-61882は、認証不要で任意コード実行が可能となり、CVSSスコアも9.8と非常に危険性が高いです。既にランサムウェア攻撃の標的となった事例も確認されており、極めて深刻な脆弱性です。提供元であるOracle社も緊急アラートを発出しており、利用者は速やかに対応することが求められています。
リモートコード実行も可能な「SAP NetWeaver」のファイルアップロード脆弱性に対応
2025年4月24日に公開された「SAP NetWeaver(Visual Composer/Metadata Uploader)」の脆弱性CVE-2025-31324は、認証不要で任意ファイル(悪意のあるスクリプトなど)をアップロードでき、これがリモートコード実行(Remote Code Execution、RCE)に至る可能性があるというものです。CVSSスコアは最大値の10.0となっています。SAPシステムは世界中の大企業や官公庁を中心に利用され、財務・人事をはじめ企業活動を支える重要なシステムであることから、脆弱性がもたらす影響は非常に大きいと考えられます。
「GMOサイバー攻撃ネットde診断 ASM」は、簡単かつ直感的に使用が可能なセキュリティプラットフォームです。国産ASMツールとして培ってきた「IT資産の棚卸しとリスク可視化」の強みを生かしながらも、ASMツールの枠にとどまらず「複雑化するセキュリティ運用をシンプルにし、“何から対策すべきか”を可視化する」というビジョンの実現を目指しています。
GMOサイバー攻撃ネットde診断 ASMは、ユーザーのセキュリティ知識を問わずに、ユーザーが最も優先すべきセキュリティ対策を一目で把握できるオンラインASMツールです。利用することで企業は自社のIT資産や重要システムの脅威を早期に把握し、適切な対策を実施できるため、システムの安全性と信頼性を高めることが可能になります。このようなASMツールを活用することで、企業は自社の外部公開IT資産に潜む未知の脆弱性を早期に特定し、迅速な対策を講じることが可能になります。サイバー攻撃のリスクを低減し、システムをより安全に保守運用できるため、いまやビジネスの継続性と信頼性を高める上で不可欠な存在といえるでしょう。
「GMOサイバー攻撃ネットde診断 ASM」は、簡単かつ直感的に使用が可能なセキュリティプラットフォームです。国産ASMツールとして培ってきた「IT資産の棚卸しとリスク可視化」の強みを生かしながらも、ASMツールの枠にとどまらず「複雑化するセキュリティ運用をシンプルにし、“何から対策すべきか”を可視化する」というビジョンの実現を目指しています。
GMOサイバー攻撃ネットde診断 ASMは、ユーザーのセキュリティ知識を問わずに、ユーザーが最も優先すべきセキュリティ対策を一目で把握できるオンラインASMツールです。利用することで企業は自社のIT資産や重要システムの脅威を早期に把握し、適切な対策を実施できるため、システムの安全性と信頼性を高めることが可能になります。このようなASMツールを活用することで、企業は自社の外部公開IT資産に潜む未知の脆弱性を早期に特定し、迅速な対策を講じることが可能になります。サイバー攻撃のリスクを低減し、システムをより安全に保守運用できるため、いまやビジネスの継続性と信頼性を高める上で不可欠な存在といえるでしょう。
安蔵 靖志
Techジャーナリスト/家電エバンジェリスト
家電製品協会認定 家電製品総合アドバイザー(プラチナグレード)、スマートマスター。AllAbout デジタル・家電ガイド。ビジネス・IT系出版社を経てフリーに。デジタル家電や生活家電に関連する記事を執筆するほか、家電のスペシャリストとしてテレビやラジオ、新聞、雑誌など多数のメディアに出演。KBCラジオ「キャイ~ンの家電ソムリエ」にレギュラー出演するほか、ラジオ番組の家電製品紹介コーナーの商品リサーチ・構成にも携わっている。
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット...
-
2
私がGoogle AntiGravityで「4人の分身」を実装した...
-
3
NHK大河『豊臣兄弟!』秀長の選択 ——秀吉と寧々が結婚したのはいつ?
-
4
日傘愛用者による「モンベル」と「サンバリア100」徹底比較レビュー...
-
5
今年は幕張メッセだったよ!ド派手レーザーと火柱と音楽のお祭り「GM...
-
GMOサイバーセキュリティ byイエラエ、WebアプリやIoT機器への“悪意のあるコード”混入をチェックする「バックドア診断」を開始
-
「GMOサイバー攻撃ネットde診断 ASM」がIT資産を自動で一覧化できる新機能「ドメイン棚卸」の提供を開始
-
国産脆弱性診断・ASMツール「GMOサイバー攻撃 ネットde診断」が「FortiGate」の脆弱性診断に対応
-
Webサイト事業者の信頼性を可視化する「サイバー攻撃対策サイトシール」の提供をGMOインターネットグループが開始
-
Webサイトやドメイン、SNS等におけるブランド毀損への全方位的な対処をサポートする「GMOエンフォース1」を提供開始
-
PDF資料をHTMLへ自動変換、即ウェブ公開できる「スライド2Web byGMO」が無償公開
セキュリティキャンペーンでのバナー
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット」の中毒性と拡散力
-
2
私がGoogle AntiGravityで「4人の分身」を実装した日——ワンオペ業務を回す24時間の記録
-
3
NHK大河『豊臣兄弟!』秀長の選択 ——秀吉と寧々が結婚したのはいつ?
-
4
日傘愛用者による「モンベル」と「サンバリア100」徹底比較レビュー、折り畳み傘がいい?それとも長傘?
-
5
今年は幕張メッセだったよ!ド派手レーザーと火柱と音楽のお祭り「GMO SONIC 2026」