Wazuhサーバーの重要なセキュリティ脆弱性CVE-2025-24016(CVSSスコア9.9)が2つの異なるMiraiボットネット亜種によって悪用され、DDoS攻撃に使用されている。
この脆弱性は2025年2月10日にバージョン4.9.1で修正されたが、Akamaiが2025年3月初旬に初の実際の悪用を発見した。
脆弱性はWazuh APIのDistributedAPIパラメータの安全でないデシリアライゼーション処理に起因し、攻撃者が悪意のあるJSONペイロードを注入して任意のPythonコードをリモート実行できる。
第1のボットネットは2025年3月初旬から活動し、外部サーバー176.65.134.62からLZRD Mirai亜種をダウンロードする。
第2のボットネットは2025年5月初旬に確認され、Resbot(別名Resentual)と呼ばれるMirai亜種を配信し、イタリア語の命名規則を持つドメインを使用している。
両ボットネットはHadoop YARN、TP-Link Archer AX21、ZTE ZXV10 H108Lルーターなどの他の脆弱性も悪用している。
From: 
Two Distinct Botnets Exploit Wazuh Server Vulnerability to Launch Mirai-Based Attacks
【編集部解説】
今回のWazuh脆弱性悪用事件は、サイバーセキュリティ業界における深刻な皮肉を浮き彫りにしています。Wazuhは企業のセキュリティ監視を担う「守護者」的な存在でありながら、その守護者自身が攻撃の標的となってしまいました。特に注目すべきは、これが脆弱性公開以来初の実際の悪用事例であることです。
この脆弱性CVE-2025-24016の技術的な核心は、JSONデシリアライゼーション処理の不備にあります。Wazuh APIのDistributedAPIパラメータがJSONとしてシリアライズされ、framework/wazuh/core/cluster/common.pyファイル内でas_wazuh_objectを使用してデシリアライズされる際、悪意のあるコードが紛れ込んでも検証せずに実行してしまう欠陥です。
最も深刻な問題は、脆弱性公開からわずか数週間で実際の攻撃が確認された点です。2025年2月10日の公開から3月初旬の攻撃確認まで、従来よりもさらに短縮された「エクスプロイト・タイムライン」が記録されました。これは攻撃者の技術力向上と自動化の進展を示しており、企業のパッチ適用体制により迅速性が求められることを意味します。
今回確認された2つのボットネットは、それぞれ異なる戦略を採用している点も興味深い特徴です。第1のボットネットは従来型のMirai亜種LZRDを展開し、第2のボットネット「Resbot」はイタリア語のドメイン名を使用して特定地域のユーザーを標的としています。この地域特化型アプローチは、ボットネット運営の高度化を示唆しています。
重要な点として、この脆弱性はまだCISAの既知悪用脆弱性(KEV)カタログに追加されていません。これは政府機関や重要インフラ事業者への警告が十分に行き渡っていない可能性を示しており、今後の対応が注目されます。
このインシデントが企業に与える影響は多岐にわたります。まず、セキュリティツール自体のセキュリティ管理という新たな課題が浮上しました。従来は「セキュリティツールは安全」という前提で運用されていましたが、今後はこれらのツール自体も定期的な脆弱性チェックと迅速なアップデートが必要になります。
長期的な視点では、この事件はゼロトラスト・セキュリティモデルの必要性を強く示しています。「内部は安全」という従来の境界型セキュリティでは、一度侵入を許すと甚大な被害につながる可能性があります。すべてのアクセスを検証し続けるゼロトラストアプローチが、今後のサイバーセキュリティの標準となる可能性が高まっています。
【用語解説】
CVE-2025-24016
Wazuhサーバーに存在する重要度9.9の脆弱性。JSONデシリアライゼーション処理の不備により、攻撃者が任意のPythonコードをリモート実行できる。2025年2月10日に公開され、初の実際の悪用が3月初旬に確認された。
Miraiボットネット
2016年に初めて発見されたIoTデバイスを標的とするマルウェア。デフォルトパスワードの脆弱性を悪用してデバイスに感染し、DDoS攻撃に利用される。
LZRD Mirai
2023年から活動しているMiraiボットネットの亜種。複数のアーキテクチャに対応し、様々なIoTデバイスを標的とする。「neon」「vision」などの派生版も確認されている。
Resbot(Resentual)
イタリア語の命名規則を持つドメインを使用するMiraiボットネット亜種。特定地域のユーザーを標的とする地域特化型の戦略を採用している。
JSONデシリアライゼーション
JSON形式のデータを内部処理用のオブジェクトに変換する処理。不適切な実装により、悪意のあるコードが実行される脆弱性の原因となる。
CISA KEVカタログ
米国サイバーセキュリティ・インフラセキュリティ庁が管理する既知悪用脆弱性カタログ。政府機関や重要インフラ事業者に対する修正義務の根拠となる。
【参考リンク】
Wazuh公式サイト(外部)
オープンソースのセキュリティプラットフォーム。XDRとSIEMの統合ソリューションを提供
Akamai Security Research(外部)
今回の脆弱性悪用を最初に発見し、詳細な分析レポートを公開したセキュリティ研究チーム
CVE-2025-24016 – NVD(外部)
米国国立標準技術研究所による脆弱性データベース。CVSSスコア詳細を提供
CISA Known Exploited Vulnerabilities Catalog(外部)
米国政府機関が管理する既知悪用脆弱性カタログ。現在CVE-2025-24016は未登録
【参考動画】
【参考記事】
Two Botnets, One Flaw: Mirai Spreads Through Wazuh Vulnerability(外部)
Akamaiによる最初の詳細分析レポート。2つのボットネットによる脆弱性悪用の実態を技術的に解説
CVE-2025-24016 Description, Impact and Technical Details(外部)
脆弱性の技術的詳細とCVSSスコア9.9の評価根拠を提供。影響範囲と対策方法について説明
Mirai Botnets Exploiting Wazuh Security Platform Vulnerability(外部)
Security Weekによる報道。脆弱性の技術的詳細と2月10日の公開日程について詳細に説明
【編集部後記】
今回のWazuh脆弱性事件は、「守るためのツールが攻撃の入り口になる」という現代サイバーセキュリティの皮肉な現実を浮き彫りにしました。
特に、脆弱性公開から実際の攻撃まで数週間という短縮されたタイムラインは衝撃的です。皆さんの組織では、セキュリティツール自体のセキュリティ管理はどのように行われているでしょうか?
また、CISA KEVカタログ未登録の脆弱性に対する対応方針はありますか?ゼロトラストセキュリティの導入や、緊急パッチ適用体制について、ぜひ皆さんの経験や課題をお聞かせください。
