Packet Pilot X (Twitter)
2026-01-16

RondoDoxボットネットがHPE OneViewの重大な脆弱性を悪用

RondoDoxボットネットがHPE OneViewの重大な脆弱性CVE-2025-37164を大規模に悪用していることが確認されました。Check Pointによると、40,000件以上の攻撃試行が観測され、特に政府機関が標的となっています。この脆弱性はリモートコード実行を可能にし、HPEのデータセンター管理プラットフォームに深刻な影響を及ぼします。HPEは早急なパッチ適用を呼びかけています。

メトリクス

このニュースのスケール度合い

6.5 /10

インパクト

7.5 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

8.5 /10

主なポイント

  • RondoDoxボットネットがHPE OneViewの脆弱性を利用して、40,000件以上の攻撃を行っています。
  • この脆弱性はリモートコード実行を可能にし、特に政府機関が狙われています。

社会的影響

  • ! この脆弱性の悪用により、政府機関や金融サービスが深刻な影響を受ける可能性があります。
  • ! 企業は、データセンター管理プラットフォームの脆弱性を放置することができず、迅速な対応が求められています。

編集長の意見

RondoDoxボットネットによるHPE OneViewの脆弱性悪用は、サイバーセキュリティの観点から非常に深刻な問題です。この脆弱性は、データセンターの管理機能を直接的に脅かすものであり、特に政府機関や金融機関にとっては致命的なリスクを伴います。HPE OneViewは、サーバーやストレージ、ネットワークを一元管理するための重要なプラットフォームであり、その脆弱性が悪用されることで、攻撃者は企業のインフラ全体にアクセスできる可能性があります。これにより、情報漏洩やサービス停止といった重大な事態が引き起こされる恐れがあります。さらに、RondoDoxボットネットのような攻撃手法は、今後も進化し続けることが予想されます。企業は、脆弱性を放置せず、迅速にパッチを適用することが求められます。また、定期的なセキュリティ監査や脆弱性診断を実施し、常に最新のセキュリティ対策を講じることが重要です。今後の課題としては、ボットネットの活動をいかに早期に検知し、対策を講じるかが挙げられます。サイバー攻撃はますます巧妙化しており、企業はその脅威に対抗するための体制を整える必要があります。

解説

RondoDoxがHPE OneViewのRCE(CVE-2025-37164)を大規模悪用——管理プレーンを奪われる前に遮断とパッチが先決です

今日の深掘りポイント

  • データセンターの「管理プレーン」が初動で侵入点にされると、横展開の速度と影響範囲が桁違いになります。HPE OneViewは機器の一元管理ハブであり、ここを落とされるとインフラ全体の守りが崩れます。
  • 攻撃は人手ではなくボットネットによる自動化で拡散しています。露出インスタンスがある組織は「今すぐ」遮断・パッチ・侵害有無の確認を並行で回すべき段階です。
  • 標的の偏りが示唆されており(政府機関への集中)、地政学的リスクと運用リスクが重なる領域です。可用性と統制(Change window)を両立した即応プロセスが問われます。

はじめに

RondoDoxと呼ばれるボットネットが、HPE OneViewに存在する重大なリモートコード実行脆弱性(CVE-2025-37164)を足がかりに、短期間で広範囲に攻撃を仕掛けています。報道では、1日で4万件超の攻撃試行が観測され、特に政府機関が狙われているとの情報があります。管理プレーンの穴は、単なる1台の脆弱なサーバではなく、背後の多数のサーバ・ネットワーク・ストレージの制御権に直結します。いま必要なのは、露出の遮断、パッチ適用、そして侵害有無の即時確認という3拍子を同時に回す意思決定です。

本稿では、事実関係と現場視点のインサイトを分けて整理し、MITRE ATT&CKに沿った脅威シナリオ、そして実務で回せるアクションに落とし込みます。緊張感は高い状況ですが、やるべきことは明確です。

深掘り詳細

事実(現時点で公表・報道されている内容)

  • RondoDoxボットネットがHPE OneViewのCVE-2025-37164(リモートコード実行)を悪用し、大規模な試行を展開しています。報道では1月7日に4万件超の攻撃試行が観測されたとされ、政府機関を含む組織が狙われていると伝えられています。HPEは迅速なパッチ適用を呼びかけています。The Registerの報道がこれらの点をまとめています。
  • HPE OneViewは、サーバ、ネットワーク、ストレージを統合管理するプラットフォームで、同製品の脆弱性悪用は管理対象全体への影響に発展しやすい性質があります。

注記:上記は公開報道に基づく要約です。HPEのセキュリティ通告や研究機関の詳細分析は必ず一次情報で確認し、適用対象バージョンや緩和策の条件を精査してください。一次情報の確認が取れない点は、本稿では推測せず記述を控えています。

インサイト(現場運用に効く視点)

  • 管理プレーン露出の代償は「速さ」と「広さ」で返ってきます。OneViewはAPI/GUI経由で機器を一括制御できるため、仮にRCEから侵入されると、資格情報の窃取、iLO/Redfish経由の電源操作、サーバプロファイル改ざんなど、復旧難度の高い事象が短時間で連鎖します。一般業務系アプリのRCEよりも事後コントロールの難易度が高い領域です。
  • 本件は「いま動けば被害を相当抑えられる」タイムウィンドウにあります。攻撃の自動化と観測件数から、確率・即応性ともに高めに振れている状況です。一方で技術的な新規性は限定的で、既知脆弱性の量的活用という構図に見えます。つまり、面で塞ぐ(露出遮断とパッチ)対応がもっとも効きやすい局面です。
  • ガバナンス面では、データセンター運用の変更管理と緊急パッチ適用の両立がボトルネックになりがちです。緊急時は「インターネット露出の即時遮断」「一時的なアクセス制御強化(VPN強制・ソースIP制限)」を先に実施し、パッチ適用は計画停止と合わせて短サイクルで回す二段構えが現実的です。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った「ありうる」シナリオの仮説です。個別環境により異なりますので、環境固有の管理設計(iLO/管理VLAN/認証基盤連携)に照らして検討してください。

  • 初期侵入
    • T1190 Exploit Public-Facing Application: 公開されたOneViewの脆弱エンドポイントに対するRCE悪用。
  • 実行・持続化・権限昇格
    • T1059 Command and Scripting Interpreter: シェル/スクリプト実行によるペイロード展開。
    • T1105 Ingress Tool Transfer: 追加ツールやボットペイロードの取得。
    • T1136 Create Account / T1078 Valid Accounts: 管理GUI/APIに新規管理者やAPIトークンを作成、正規アカウントで隠密化。
    • T1068 Exploitation for Privilege Escalation: アプライアンス内部権限の拡大(仮説)。
  • 資格情報・偵察
    • T1552 Unsecured Credentials / T1555 Credentials from Password Stores: OneViewが保持する機器認証情報の抽出。
    • T1046 Network Service Discovery / T1018 Remote System Discovery: 管理VLANやiLOへの到達性確認。
  • 横展開
    • T1021 Remote Services(SSH/WinRMなど)、管理API(iLO/Redfish/Composerなど)を用いた機器制御への展開(環境依存)。
  • 目的の実行
    • T1496 Resource Hijacking: クリプトマイニング(ボットの一般的動機)。
    • T1565 Data Manipulation / T1490 Inhibit System Recovery: サーバプロファイル改ざんや復旧妨害(高リスクだが仮説)。
    • T1486 Data Encrypted for Impact: 管理プレーン経由の暗号化・ロックアウト(最悪シナリオ、仮説)。
    • T1041 Exfiltration Over C2 Channel: 構成情報・資格情報の流出。

影響の然り方

  • 技術面: 管理権限の奪取は「機器個々」ではなく「制御権」の喪失に直結します。停止・改ざん・大量プロビジョニングの誤作動など、大域的影響が短時間で広がります。
  • 業務面: データセンター運用の計画停止・変更管理の再調整、ベンダ連携の調整コストが増大します。公共・金融など高信頼を求められる領域では、対外説明責任も膨らみます。
  • ガバナンス面: 管理プレーンの外部露出ポリシー、特権認証(MFA/SSA)、構成情報の保護(キーマテリアルの暗号化・分離)など、設計原則の見直しが必要になります。

セキュリティ担当者のアクション

優先度順で、実務に落とし込める形に整理します。

  1. 即時遮断・可視化
  • インターネットからの直接到達を停止します。公開DNS・外部スキャン結果・クラウドLB/リバプロの設定を含めて「外から見える」経路をゼロにします。
  • 一時的に管理アクセスはVPN強制・ソースIP制限・MFA(可能な範囲)で縛ります。
  • OneViewから外向きの通信も制御します。既知C2や不審ASへのアウトバウンドはFWで遮断、通信ログを残します。
  1. パッチと構成の是正
  • HPEの修正パッチ/アップデートを適用します。適用に先立ち、スナップショット/バックアップ、復元手順のベリファイを行います。
  • 不要なサービス/APIの無効化とTLS設定の見直し(古い暗号スイートの停止)、管理インターフェースのネットワーク分離を徹底します。
  1. 侵害有無のトリアージ
  • 管理GUI/APIの監査ログで以下を確認します。
    • 直近での未知の管理者作成/ロール変更/APIトークン発行
    • 異常な時刻帯・異常地理のログイン
    • 設定エクスポート・プロファイル変更の大量実行
  • アプライアンスOS側の兆候(可能な範囲)を確認します。
    • 新規プロセスの常駐、スケジュール実行、異常な外向き通信
    • 異常な高負荷(マイニングの疑い)
  • ネットワーク側でのふるまい検知
    • OneViewからiLO/Redfish/SSH/SMBなどへの突発的スキャン
    • 未知宛先への長時間セッション確立
  1. 資格情報・信頼の再構築
  • OneViewに登録された機器の認証情報をローテーションします。可能ならデバイス側(iLO等)の認証も更新します。
  • APIトークンを全無効化し、必要最小限で再発行します。SAML/LDAP連携がある場合、IDプロバイダ側の監査も行います。
  • 証明書・鍵マテリアル(バックアップを含む)の所在を棚卸し、保護を強化します。
  1. 運用プロセスの定着
  • 変更管理の「例外運用」テンプレート(緊急遮断→短サイクルパッチ→恒久対策)を定義し、定例外レビューを短時間で回せる体制にします。
  • 管理プレーンの露出をゼロトラスト原則で設計し直します。インターネット露出はなし、踏み台/VPN必須、ネットワークは管理VLANで分離、Egressも最小化します。
  • 継続監視の強化。管理系アプライアンスはEDRの適用が難しいケースが多いため、ネットワーク/フロー/プロキシログに重心を置いた可視化と検知を整備します。
  1. コミュニケーション
  • ベンダ(HPE)への確認チケットを発行し、該当バージョン・暫定緩和策・ログの取得方法などの一次情報を確保します。
  • 組織内では、CIO/データセンター運用/CSIRTの三者で合意した判断基準(遮断条件、パッチ適用窓、ロールバック条件)を共有します。

なお、攻撃の自動化と観測規模から、短期間の「窓」を逃すと侵害の有無確認と復旧のコストが跳ね上がります。技術的な難易度よりも、意思決定の速さと横断連携が成否を分ける局面です。

参考情報

  • The Register: RondoDox botnet is abusing HPE OneView to pwn data centers(2026-01-16): https://go.theregister.com/feed/www.theregister.com/2026/01/16/rondodox_botnet_hpe_oneview/

本稿は現時点の公開報道に基づき、推測はその旨を明示して記載しています。HPEのセキュリティ通告やベンダの一次資料が公開され次第、適用対象・回避策・IoCを必ず一次情報で突き合わせることを強く推奨します。読者の皆さまの現場対応が、被害の連鎖を確実に断ち切る最短路になります。

背景情報

  • i CVE-2025-37164は、HPE OneViewに存在するリモートコード実行の脆弱性で、CVSSスコアは10と最高評価です。この脆弱性を悪用されると、攻撃者はデータセンターの管理機能を完全に掌握することが可能になります。
  • i RondoDoxボットネットは、Linuxベースのボットネットであり、既知の脆弱性を利用して広範なボットネットを構築します。これにより、DDoS攻撃や暗号通貨マイニングなどの悪意のある活動が行われます。
Packet News 一覧へ戻る