2025年7月24日、MitelはMiVoice MX-ONEおよびMiCollabに関する重大なセキュリティ脆弱性を修正するアップデートをリリースした。
MiVoice MX-ONEのProvisioning Managerコンポーネントで認証バイパス脆弱性(CVSS 9.4)が発見され、バージョン7.3(7.3.0.0.50)から7.8 SP1(7.8.1.0.14)に影響する。
未認証の攻撃者が管理者アカウントへ不正アクセスを取得できる可能性がある。パッチはMXO-15711_78SP0/MXO-15711_78SP1として提供され、7.3以上のユーザーは認定サービスパートナーへリクエストが必要である。
また、MiCollabのSQLインジェクション脆弱性(CVE-2025-52914、CVSS 8.8)も同時に修正され、バージョン10.0(10.0.0.26)から10.0 SP1 FP1(10.0.1.101)および9.8 SP3(9.8.3.1)以前に影響、10.1(10.1.0.10)および9.8 SP3 FP1(9.8.3.103)以降で解決された。
From: 
Critical Mitel Flaw Lets Hackers Bypass Login, Gain Full Access to MiVoice MX-ONE Systems
【編集部解説】
今回のMitelの脆弱性発表は、エンタープライズ通信システムの根本的なセキュリティ課題を浮き彫りにする重要な事案です。特に注目すべきは、認証バイパス脆弱性のCVSSスコア9.4という数値の重大さでしょう。
認証バイパス攻撃の技術的背景
認証バイパス脆弱性とは、本来必要なログイン手続きを迂回して不正アクセスを可能にする欠陥です。今回の場合、MiVoice MX-ONEのProvisioning Manager(プロビジョニング管理コンポーネント)における「不適切なアクセス制御」が原因となっています。これは攻撃者が特別な技術知識や複雑な手順を必要とせず、比較的容易に管理者権限を取得できることを意味します。
影響範囲の深刻度
Mitelの製品は世界で6万社以上の顧客、7,500万人以上のユーザーが利用しており、教育機関、医療機関、金融サービス、製造業、政府機関など重要インフラへの普及が進んでいます。今回の脆弱性により、これらの組織の内部通信システムが完全に掌握される可能性があり、情報漏洩から業務停止まで広範囲な被害が想定されます。
過去の攻撃実績が示すリスク
Mitel製品は過去にも標的となった実績があります。2024年には別のMiCollab脆弱性(CVE-2024-55550)が実際の攻撃で悪用され、CISAが米国連邦機関に警告を発出しました。また、同年にはゼロデイ脆弱性(CVE-2024-41713)も発見されており、攻撃者がMitel製品に継続的な関心を示していることが明らかです。
パッチ適用における課題
今回の対応で特徴的なのは、バージョン7.3以上のユーザーが「認定サービスパートナー経由でのパッチリクエスト」を必要とする点です。これは組織によって迅速な対応が困難になる可能性を示唆しており、攻撃者がパッチを逆解析してエクスプロイトを開発する時間的猶予を与えかねません。arcticwolf.com+1
SQL インジェクション脆弱性の併発
同時に発表されたMiCollabのSQL インジェクション脆弱性(CVE-2025-52914)も見逃せません。CVSS 8.8の高重要度を持つこの脆弱性は、認証済み攻撃者がデータベースへ任意のコマンドを実行できるもので、データの機密性、完全性、可用性すべてに影響を及ぼします。
エンタープライズ通信システムの構造的リスク
今回の事案は、企業の通信インフラが単一障害点となるリスクを明確に示しています。MX-ONEのようなSIPベースシステムは数十万人規模のユーザーを支える設計となっており、一度侵害されれば組織全体の通信が麻痺する可能性があります。
セキュリティ業界への長期的インパクト
Arctic Wolfなどのセキュリティ企業は、攻撃者が近い将来にパッチを逆解析してエクスプロイトを開発する可能性を警告しています。これは企業のセキュリティ対応速度が攻撃者の能力向上に追いついていない現実を反映しており、ゼロトラスト・アーキテクチャの必要性を改めて浮き彫りにしています。
規制環境への影響
NHS EnglandやCISAといった政府機関が迅速にアラートを発出している事実は、今後このような重要インフラへの脆弱性開示がより厳格な規制対象となる可能性を示唆しています。特にNCSCが「今後の悪用可能性が極めて高い」と評価している点は、規制当局の関心の高さを物語っています。
【用語解説】
認証バイパス脆弱性:
本来必要なログイン手続きを迂回し、攻撃者が未認証のままシステムにアクセスできる欠陥である。
SQLインジェクション:
データベースに対し不正なSQL文を注入し、情報の取得・改ざん・削除を行う攻撃手法である。
CVSS:
脆弱性の深刻度を0.0〜10.0で評価する指標。9.0以上はクリティカルに分類される。
Provisioning Manager:
ユーザーアカウントやリソース、設定を自動的に準備・管理するコンポーネントである。
SIPベースシステム:
Session Initiation Protocolを用いたVoIP通信システムである。
【参考リンク】
Mitel公式サイト(外部)
世界で6万社以上が利用するカナダの統合通信ソリューション企業。7000万人以上のユーザーに音声、映像、メッセージング機能を提供し、企業向けUCCプラットフォームで世界シェア1位を誇る。
Mitel製品セキュリティアドバイザリ MISA-2025-0009(外部)
MiVoice MX-ONEの認証バイパス脆弱性に関する公式セキュリティ勧告。影響バージョン、パッチ情報、回避策などの詳細情報を提供している。
Mitel製品セキュリティアドバイザリ MISA-2025-0008(外部)
MiCollabのSQLインジェクション脆弱性(CVE-2025-52914)に関する公式セキュリティ勧告。発見者のBureau Veritas Cybersecurityへの謝辞も含まれている。
NHS Digital サイバーアラート(外部)
英国国民保健サービスが発行したMitel脆弱性に関する緊急警報。医療機関向けにリスク評価と対応策を提供している。
【参考記事】
Mitel warns of critical MiVoice MX-ONE authentication bypass flaw(外部)
BleepingComputerによる詳細な技術解説記事。MX-ONEが数十万ユーザーをサポートするSIPベースシステムであることや、過去のMitel製品への攻撃実績、CISAの警告などの背景情報を提供している。
Mitel Releases Security Advisories for MiVoice MX-One and MiCollab(外部)
NHS England発行の公式サイバーアラート。医療機関向けに脆弱性の影響範囲、リスク評価、具体的な対応手順を整理して提供。政府機関レベルでの対応の緊急性を示している。
【編集部後記】
今回の脆弱性は、企業のコミュニケーション基盤が抱える見えないリスクを暴き出しました。皆さんの環境では、VoIPシステムのアップデート状況はいかがでしょうか。
ネットワークの外部露出制限や多層防御の導入は進んでいますか?セキュリティ対策は日常的な運用とインシデント対応の両面から考える必要があります。気軽に状況を共有していただけると嬉しいです。
