Sangomaが提供するIP電話システム「FreePBX」のインスタンス900台以上が侵害され、Webシェルが設置されていると報告されています。攻撃は現在も継続中とされ、インターネットに公開された管理画面などが標的になっている可能性があります。企業の音声基盤が直接狙われる事態となっており、早急な点検と対策が求められます。
The Hacker News:900+ Sangoma FreePBX Instances Compromised in Ongoing Web Shell Attacks
この記事のポイント
影響のあるシステム
- 対象バージョン: FreePBX 17.0.2.36 以降のバージョン
- 脆弱性番号: CVE-2025-64328(CVSSスコア 8.6:高重要度)
- 対象機能: 管理パネル(ACP)およびフィレストア(filestore)モジュール
推奨される対策
- 修正プログラムの適用: バージョン 17.0.3 以降へ直ちにアップデートする
- アクセス制限: 管理画面(ACP)をインターネットから遮断し、許可されたIPのみに制限する
- Webシェルの確認: 「EncystPHP」などの不審なPHPスクリプトが設置されていないか全スキャンを行う
- 特権アクセスの監視: 管理者権限による不審なコマンド実行ログがないか精査する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- FreePBX:Sangomaが提供するオープンソースベースのIP電話(PBX)管理ソフトウェアです。
- Webシェル:攻撃者がサーバー上で遠隔操作を行うために設置する不正なスクリプトです。
- PBX:Private Branch Exchangeの略で、企業内電話交換システムを指します。
- CVE-2025-64328: FreePBXの管理パネルで認証後に任意のコマンドを実行できてしまう脆弱性です。
- INJ3CTOR3: 今回の攻撃に関与しているとされるサイバー犯罪グループのコードネームです。
侵害の規模と特定された脆弱性
非営利団体Shadowserver Foundationの調査により、世界中で900台を超えるFreePBXインスタンスがすでに侵害状態にあることが明らかになりました。国別では米国(401件)が最多ですが、ブラジル、カナダ、ドイツ、フランスなど世界各地に被害が広がっています。
この攻撃には、2025年11月に公開された脆弱性 CVE-2025-64328 が悪用されています。この脆弱性は、認証済みのユーザーが管理パネルを通じてホストOS上で任意のシェルコマンドを実行できるというものです。攻撃者は「INJ3CTOR3」と呼ばれるオペレーションを通じてこの欠陥を突き、管理者権限でWebシェルを設置してシステムの制御権を奪取します。
攻撃の特徴:高度な権限奪取と通話の悪用
今回の攻撃の大きな特徴は、Webシェルが「管理者コンテキスト」で動作する点にあります。これにより、攻撃者は単にデータを盗むだけでなく、PBX(電話交換機)の機能をフルに活用した不正活動が可能になります。
具体的には、不正な国際電話の発信(通話料の着服)や、通話ルーティングの改ざん、さらにはPBXを踏み台とした社内ネットワークへの横展開のリスクが指摘されています。米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)も、この脆弱性が既に「悪用が確認された脆弱性(KEV)」カタログに追加されたことを公表し、警戒を強めています。
国内組織が直ちに確認すべきチェックリスト
日本国内でFreePBXを運用している、あるいはFreePBXベースの製品を利用している組織は、以下のステップで緊急点検を行ってください。
- バージョン確認: 利用中のFreePBXが 17.0.3 未満である場合は、即座にアップデートを計画してください。
- 公開設定の変更: 管理画面(ACP)がグローバルIPから直接アクセス可能になっていないか確認し、VPN経由などに制限してください。
- ファイルストアの点検: 脆弱性の入り口となる「filestoreモジュール」を最新版に更新してください。
- 痕跡調査: サーバー内に身に覚えのないPHPファイルが作成されていないか、また特定の外部IPアドレスへの不審なアウトバウンド通信が発生していないか確認が必要です。
PBXは一度侵害されると多額の通話料被害が発生する可能性があるため、情報漏えい対策と同等の優先度で対処すべき事案です。
