TL;DR
- Wing FTP Server 7.4.4未満に情報漏洩の脆弱性(CVE-2025-47813)が存在し、CISA KEVに登録済み(対応期限:2026年3月30日)
- CVSS 4.3(Medium)だが、EPSS 21.35%(上位約5%)—— 同製品のCVSS 10.0 RCE(CVE-2025-47812)への偵察ステップとして実際の攻撃チェーンで使われている
- ShadowServerの観測で約2,000台のWing FTPインスタンスがインターネットに露出。今すぐバージョンを確認し、7.4.4以上にアップデートすること
この脆弱性は何が起きるのか
Wing FTP Server(Windows / Linux / macOS対応のファイル転送サーバー)の Web管理画面 loginok.html に、認証済みユーザーが異常に長いUID クッキー値を送信すると、OSのパス長制限を超えたエラーが発生し、サーバーのインストール先フルパス(例:C:\WingFTP\)がエラーメッセージ内に表示されてしまいます。
「パスが漏れるだけ?」—— その疑問はもっともですが、この情報が攻撃者にとってどれほど価値があるかが本記事の核心です。
技術的な背景(エンジニア向け)
loginok.htmlはWing FTP ServerのWeb認証ハンドラです。UIDクッキーの値がOSのMAX_PATH(Windowsでは通常260文字)を超えると、内部でファイルパス構築に失敗し、サニタイズされていないエラーメッセージが返されます。これはCWE-209(Generation of Error Message Containing Sensitive Information)に分類されます。
攻撃は以下のようなHTTPリクエストで再現可能です:
POST /loginok.html HTTP/1.1
Host: target:5466
Cookie: UID=AAAA...(260文字以上)
レスポンスに C:\Program Files\Wing FTP Server\ のようなパスが含まれます。
影響を受けるバージョン
| パッケージ | 脆弱なバージョン | 安全なバージョン |
|---|---|---|
| Wing FTP Server | 7.4.3 以前(全OS) | 7.4.4 以上 |
Wing FTP Serverは同じ認証エンドポイントにCVE-2025-47812(CVSS 10.0、未認証RCE)とCVE-2025-47811(権限昇格)も抱えています。7.4.4へのアップデートでCVE-2025-47812とCVE-2025-47813が修正されますが、CVE-2025-47811は7.4.4でも未修正との報告があります。ベンダーの最新情報を確認してください。
どれくらい危険なのか — 数字で見る脅威の実態
なぜCVSS 4.3なのにEPSS 21%なのか
これが本記事の最も重要なポイントです。
| 指標 | 値 | 何を測っているか |
|---|---|---|
| CVSS | 4.3 (Medium) | この脆弱性単体が引き起こせる技術的被害の上限 |
| EPSS | 21.35% | 今後30日以内に実際に悪用される確率 |
CVSSは「天井の高さ」、EPSSは「今まさに雨が降っているか」を測る指標です。CVSSベクトル AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N は「ネットワーク経由、低権限で、機密性への影響は低い」と正しく評価しています。しかしEPSSは攻撃者がこの脆弱性を実際に使っている現実を反映しています。
その理由は攻撃チェーンにあります。
攻撃チェーン:パス漏洩がRCEへの架け橋になる
Step 1: CVE-2025-47813(本脆弱性)
攻撃者 → loginok.html に長いUIDクッキーを送信
→ サーバーのインストールパスを取得
例: C:\Wing FTP Server\
Step 2: CVE-2025-47812(CVSS 10.0 RCE)
攻撃者 → loginok.html のusernameパラメータにNULLバイト(\0)を注入
→ Luaコードがセッションファイルに書き込まれる
→ セッションファイルの保存先 = [インストールパス]\data\sessions\
→ Step 1でパスが判明しているため、ペイロード投下が精密化
Step 3: トリガー
攻撃者 → dir.html にアクセス
→ SessionModule.load() が loadfile() でセッションファイルを実行
→ 注入されたLuaコードがroot/SYSTEM権限で実行される
つまりCVE-2025-47813は「たかがパス漏洩」ではなく、CVSS 10.0のRCEを精密に実行するための偵察ステップなのです。
インターネットに露出しているWing FTP Server
Shodanの検索(2026年3月25日時点)によると、「Wing FTP Server」のバナーを返すホストは全世界で約25,900台です。Censysの調査でも約9,400台のホスト(うちWeb管理画面が露出しているもの約5,000台)が観測されています。
国別の上位は以下の通りです:
| 国 | 台数 |
|---|---|
| 中国 | 3,281 |
| 米国 | 3,128 |
| タイ | 1,745 |
| オーストラリア | 1,541 |
| バーレーン | 1,473 |
| インド | 1,332 |
| スペイン | 1,202 |
| 日本 | 1,035 |
ShadowServer の攻撃観測(CVE-2025-47812)
ShadowServerのハニーポット統計ではCVE-2025-47813単体の攻撃データは記録されていませんが、攻撃チェーンの本体であるCVE-2025-47812については追跡されています。2026年3月の1ヶ月間の時系列データでは、3月14日頃にアジアからの攻撃元IPが約35台に急増するスパイクが観測されました。これはCISA KEV登録(3月16日)の直前にあたります。
Huntress が観測した実際の攻撃(CVE-2025-47812経由)
Huntressは2025年7月1日(PoC公開翌日)に顧客環境で実際の悪用を観測しました。攻撃者の行動は以下の通りです:
- 悪意あるLuaスクリプトのダウンロードと実行
- システム偵察(ネットワーク構成、ユーザー一覧、ファイル列挙)
- RMMツール(ScreenConnect)のインストール — 永続的なリモートアクセスの確立
- 複数の攻撃者が同一被害者に同時接続 — 異なるIPアドレスからの並行攻撃
CISA KEV 登録
CISAは2026年3月16日にCVE-2025-47813をKEV(Known Exploited Vulnerabilities)カタログに追加しました。連邦政府機関の対応期限は2026年3月30日です。
影響を受ける可能性のある組織
Wing FTP Serverの開発元は、10,000社以上の顧客を公称しています。報道によると、米空軍、Airbus、Reuters、Sephoraなどの大手組織が含まれるとされています。
対応の3ステップ
ステップ1:自分の環境が影響を受けるか確認する
以下を確認してください:
- Wing FTP Serverを使用しているか — サーバー管理者やインフラチームに確認。デフォルトではWeb管理画面がポート5466、FTPがポート21で稼働します
- バージョンが7.4.3以前か — Wing FTP Server管理コンソールの「About」画面、またはWeb管理画面のフッターでバージョンを確認できます
判定基準:
- バージョン 7.4.3以前 → 脆弱(今すぐ対応)
- バージョン 7.4.4以上 → 安全(CVE-2025-47812, CVE-2025-47813は修正済み)
ステップ2:パッチを当てる
根本対策は Wing FTP Server 7.4.4以上 へのアップデートです。アップデートの際は環境に応じてサービス停止→インストール→再起動の手順を踏んでください。設定は保持されます。
すぐにアップデートできない場合は、以下の暫定策を検討してください:
以下はあくまで暫定策です。根本対策はバージョン7.4.4以上へのアップデートです。
- Web管理画面(ポート5466)へのアクセスを信頼されたIPアドレスのみに制限する — ファイアウォールやACLで外部からの直接アクセスを遮断
-
WAFでCookieヘッダの異常な長さを検知・遮断する —
loginok.htmlへのリクエストでUIDクッキーが260文字を超える場合をブロック - 匿名(anonymous)アクセスを無効化する — CVE-2025-47812のRCEチェーンの前提条件を削減できます
ステップ3:すでに侵害されていないか確認する
CVE-2025-47812経由でRCEが成功している場合、以下の痕跡がないか確認してください。具体的な確認コマンドはOS・環境によって異なるため、Huntressの詳細レポートを参考に、自環境に合わせた調査を実施することを推奨します。
- Wing FTPプロセスの子プロセスに不審なものがないか — 通常生成されないはずのシェルやスクリプト実行プロセスが動いていないか
-
セッションファイルにLuaコードが混入していないか — Wing FTPの
data/sessions/ディレクトリ内にos.executeio.popen等のLua関数呼び出しが含まれていれば、攻撃が成功している可能性が極めて高い - 意図しないRMMツールがインストールされていないか — Huntressの観測では、攻撃者がScreenConnect等のリモート管理ツールを展開しています
-
ログに
loginok.htmlへの不審なPOSTリクエストやNULLバイト(%00)を含むユーザー名がないか — Wing FTPのログディレクトリ(通常data/logs/)を確認
まとめ — 今日やるべき3つのこと
- バージョン確認:Wing FTP Serverを使っているか、使っているなら7.4.3以前か確認する
- 7.4.4にアップデート:CISA KEVの連邦機関向け期限は2026年3月30日。民間も同等の緊急度で対応すべき
- 侵害痕跡の確認:セッションファイル内のLuaコード混入と、不審なRMMツールのインストールがないかチェックする
CVSSだけで優先度を決めてはいけない
本件はCVSSとEPSSの乖離が教科書的に表れた事例です。
- CVSS 4.3は「この脆弱性単体の技術的影響は限定的」という正しい評価
- EPSS 21.35%は「にもかかわらず、攻撃者は今まさにこれを使っている」という現実
CVSSは「その鍵がどんな扉を開けうるか」を評価し、EPSSは「その鍵が今まさに使われようとしている確率」を測ります。パス漏洩という一見無害な合鍵が、RCEという金庫室への扉を開く最初の一手になっている — それがこの脆弱性の本質です。
脆弱性管理において、CVSSスコアだけでなくEPSSとKEV登録状況を組み合わせた優先度判断が不可欠であることを、この事例は改めて示しています。
参考リンク
- NVD - CVE-2025-47813
- NVD - CVE-2025-47812
- CISA KEV - CVE-2025-47813
- Huntress - Wing FTP Server RCE Exploited in the Wild
- ShadowServer - Exploited Vulnerabilities Dashboard
- Shodan - "Wing FTP Server" 検索結果
- Censys Advisory - CVE-2025-47812
- Exploit-DB - Wing FTP Server 7.4.3 Unauthenticated RCE
- RCE Security - What The NULL: Wing FTP Server RCE
- FIRST - The EPSS Model
- Wing FTP Server ダウンロード
この記事は、NVD、CISA KEV、ShadowServer Foundation、Shodan、Censys、Huntress、および独自の脅威スコアリングシステムのデータをもとに作成しました。データは2026年3月25日時点のものです。