CISAがApache Tomcatを『実際に悪用された脆弱性』に追加。表示中のサイトでも危ない理由

CISAがApache Tomcatを『実際に悪用された脆弱性』に追加した

2025年4月1日、CISAは Apache Tomcat の CVE-2025-24813 を Known Exploited Vulnerabilities に追加しました。これは単なる脆弱性の存在ではなく、すでに実際の悪用が確認されているものとして扱われたことを意味します。

サイト運営者にとって重要なのは、脆弱性の専門用語よりも『公開中の環境が更新されていないまま残っていると、攻撃対象として見つかりやすくなる』という点です。ニュースになった時点で終わる話ではなく、公開された情報を足がかりに古い環境が探されることがあります。

ApacheとNVDは影響範囲と修正版をすでに明示している

NVD と Apache の案内では、この問題は Apache Tomcat 11.0.0-M1〜11.0.2、10.1.0-M1〜10.1.34、9.0.0.M1〜9.0.98 に影響し、修正版として 11.0.3、10.1.35、9.0.99 が案内されています。8.5 系など、EOLの古い系統も影響を受ける可能性があります。

つまり今回の話は、『修正方法がまだ分からない』ではなく、『修正版は出ているのに、更新されていない公開環境が残る』ことが問題です。ここが、ニュースと現場の一番大きなずれです。

何が危ないのか。サイトが表示されていても安全とは限らない

この問題は、条件が揃うと remote code execution、情報漏えい、あるいはアップロードファイルへの悪意ある内容の追加につながり得ると説明されています。技術的な詳細より大事なのは、見た目が普通でも、内部では危険が残っていることがあるという点です。

• トップページは普通に開く
• 管理画面にも入れる
• 公開後にバージョン確認をしていない
• 担当者が変わり、現状を誰も把握していない

『表示されている』は運用できていることの証明であって、『安全である』ことの証明ではありません。

PoCが出回ると、古い公開環境はさらに見つけられやすくなる

Rapid7 は、この問題の公開後に PoC が出回ったことに触れています。こうなると、特定の高度な攻撃者だけでなく、公開情報を利用して試行する側まで対象が広がります。

ここで危ないのは、止まっている環境より、むしろ普通に稼働しているが更新が遅れている環境です。外から見ると『まだ使える』ため、攻撃する側にとっても見つけやすい資産になります。

この話はTomcatだけの問題では終わらない

今回の固有名詞は Apache Tomcat ですが、構図は他のCMSや公開Webシステムでも共通です。脆弱性が公開され、修正版が出て、更新されない公開環境が残る。この流れは製品が変わっても繰り返されます。

特に、長く運用している業務サイトや制作後に保守が切れているサイトでは、『普通に開くから大丈夫』という判断が続きやすく、外から見た基本状態の確認まで止まりがちです。

今すぐ確認したいのは『更新済みか』と『外からどう見えているか』

Tomcat を使っている場合は、まず対象バージョンかどうかを確認し、必要なら修正版へ更新することが先です。そのうえで、公開サイトとしての基本状態も確認しておくと、思い込みを減らせます。

1. Apache Tomcat を使っているか確認する
2. 使っているならバージョンと修正版を照合する
3. 公開サイトのSSL設定を確認する
4. セキュリティヘッダーなど基本項目を外から確認する

まずやること

1. 自分の公開環境でApache Tomcatを使っているか確認する
2. 対象バージョンかどうかを照合する
3. 修正版への更新状況を確認する
4. 更新の有無とは別に、公開状態を外から診断しておく

情報源

• CISA『Known Exploited Vulnerabilities Catalog』CVE-2025-24813
• Apache Tomcat Security Advisory『[SECURITY] CVE-2025-24813 Potential RCE and/or Information Disclosure and/or malicious content injection』
• NVD『CVE-2025-24813 Detail』
• Rapid7『Apache Tomcat CVE-2025-24813: What You Need to Know』