【CVE-2025-32433】Erlang/OTP SSHサーバーにおける認証不要のリモートコード実行の脆弱性

コラム

CVE-2025-32433は、ErlangプラットフォームのOTPに含まれるSSHサーバー実装に存在する重大な脆弱性です。

この脆弱性を悪用されると、認証不要でリモートから任意のコードが実行される恐れがあり、非常に危険です。CISA KEVにも登録済で、実際の攻撃に利用されている可能性が高いことが示唆されています。

該当するバージョンを使用している環境では、至急アップデートを実施することを強く推奨します。
本記事では、CVE‑2025‑32433の概要から対策までを、企業向けに分かりやすく解説します。

本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。
情報漏洩のおすすめ相談先はこちら
目次

【CVE-2024-32433】概要

Erlang/OTPは多くの分散システムやリアルタイムサービスに用いられており、その中にはOTPに組み込まれたSSHサーバー機能も含まれます。この脆弱性は当該SSH機能において、ファームウェアに認証なしでコマンドを実行できる脆弱性であり、深刻なセキュリティリスクをもたらします。

対策としては以下のバージョンへの更新が必要です。

  • OTP-25.3.2.20
  • OTP-27.3.3
  • OTP-26.2.5.11

出典:NVD

CVSSスコアは最大10.0(Critical)で評価されており、認証なしでRCEが可能な点から、実際に悪用される危険度は極めて高いです。

CISAのKEVカタログに登録済で、既に利用される実例も報告されています。

出典:SecurityScorecard

【CVE-2025-32433】影響を受けるシステム・環境

  • Erlang/OTP を使用した SSH サーバー機能搭載環境が対象です。
  • 特に、OTP-27.3.3より前・OTP-26.2.5.11より前・OTP-25.3.2.20より前のバージョンを運用している環境は危険です。
  • Industrial Automation や RabbitMQ 等、Erlangベースのインフラを使う環境では、早急な確認・対応を行ってください。

出典:NVD

【CVE-2025-32433】技術的な詳細

この脆弱性は、SSHプロトコルメッセージの処理における不適切な処理に起因します。認証処理をバイパスできることにより、悪意ある攻撃者がリモートから任意コードを実行することが可能です。若干の脆弱性分析やPoCも公開されている状況で、実運用環境の保護は急務です。

出典:NVD

【CVE-2025-32433】リスク

  • 認証なしでリモートから任意コード実行が可能であるため、サーバー乗っ取りやシステム奪取につながります。
  • 実際に悪用事例が報告される可能性が高く、後に続く被害への足がかりになる恐れがあります。

出典:SecurityScorecard

【CVE-2025-32433】ベンダーおよびアドバイザリ情報

Erlang/OTP開発チーム(GitHub等)により、当該脆弱性に関するアドバイザリと修正コミットが公開されています。特定バージョンへのアップデートが推奨されています。

出典:NVD

【CVE-2024-32433】対策と緩和策

この脆弱性は認証不要でリモートコード実行(RCE)が可能になる深刻な問題です。そのため、影響を受ける環境では速やかなアップデートが最優先となります。ここでは推奨される恒久的な対応と、やむを得ずアップデートが困難な場合に取れる一時的な緩和策を示します。

推奨される対応

OTP-27.3.3、OTP-26.2.5.11、OTP-25.3.2.20のいずれかへ、速やかにアップデートしてください。これにより認証不要のRCEリスクは除去されます。

出典:NVD

一時的な緩和策

アップデートが難しい場合、SSHサービスへのアクセス制限や内部ネットワークの隔離を実施してください。監査ログを有効化し、不審アクセスを早期に検知できる体制も併せて整備してください。

もし既に不審なSSHアクセスや不正プロセスの発生が疑われる場合は、フォレンジック調査を実施することを強く推奨します。調査によって「侵害された範囲」や「攻撃者の経路」を明確に把握し、迅速な被害封じ込めと再発防止を図ることが可能です。

情報漏洩のおすすめ相談先はこちら

編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)

情報漏洩サイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。

こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。

まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。

デジタルデータフォレンジック

費用★見積り無料 まずはご相談ください
調査対象PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス情報漏洩調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など
特長✓累積ご相談件数39,451件以上
✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済)
警視庁からの捜査協力依頼・感謝状受領の実績多数

デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。

規模が大きな調査会社でありながら、個人端末のハッキング調査不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。

ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です

相談・見積りを無料で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。

デジタルデータフォレンジックに相談する >
最新情報をチェックしよう!