FreePBX 900台侵害が示すVoIPセキュリティの死角CVE-2025-64328の悪用でIP電話基盤が標的に

900台超のIP電話基盤が侵害──FreePBX脆弱性の深刻度

オープンソースのIP-PBXシステム「FreePBX」が大規模なサイバー攻撃を受け、世界で900台以上のインスタンスがWebシェル攻撃によって侵害されました。The Hacker Newsの報道によると、この攻撃はCVE-2025-64328という深刻な脆弱性を悪用したもので、企業のVoIPインフラが新たな攻撃対象として浮上しています。

FreePBXは中小企業から大企業まで幅広く採用されているIP電話システムです。今回の侵害は、企業の通信基盤そのものがサイバー攻撃のターゲットになり得ることを示しており、自社のVoIP環境を見直す契機となります。

CVE-2025-64328の技術的詳細と影響範囲

今回悪用されたCVE-2025-64328は、CVSS（共通脆弱性評価システム）で8.6という高いスコアが付けられた認証後コマンドインジェクション脆弱性です。FreePBXのバージョン17.0.2.36以降に影響があり、管理パネルへのアクセス権を持つユーザーであれば、任意のシェルコマンドを実行できてしまいます。

攻撃者はこの脆弱性を突くことで、asteriskユーザー権限でリモートアクセスを取得します。asteriskはFreePBXの中核を担うプロセスであり、この権限を奪取されると通話データの傍受、設定の改ざん、さらには内部ネットワークへの侵入経路として悪用される恐れがあります。

この脆弱性は2025年11月に修正パッチがリリースされていますが、パッチを適用していないインスタンスが依然として多数存在しており、攻撃者にとって格好の標的となっています。セキュリティ更新を後回しにすることのリスクを、この事例は明確に示しています。

VoIPインフラ侵害がもたらす3つの深刻なリスク

VoIPシステムの侵害は、単なる通信障害にとどまりません。企業にとって以下のような深刻なリスクをもたらします。

第一に、通話傍受による情報漏洩です。営業上の機密情報、顧客との会話内容、経営判断に関わる議論など、電話を通じてやり取りされる情報は企業にとって極めて重要です。攻撃者がこれらを傍受できる状態は、競合他社への情報流出や取引先との信頼関係崩壊につながりかねません。

第二に、内部ネットワークへの侵入経路として悪用されるリスクです。VoIPシステムは社内ネットワークに接続されているため、ここを足がかりに他のシステムへ横展開される可能性があります。基幹システムや顧客データベースへの不正アクセスにつながる危険性があります。

第三に、ソーシャルエンジニアリング攻撃への悪用です。発信者IDの偽装により、社内の役員や取引先を装った詐欺電話が可能になります。いわゆる「ヴィッシング」と呼ばれる音声を使ったフィッシング攻撃は、近年急増しており、VoIPシステムの侵害はその基盤を攻撃者に提供することになります。

企業が今すぐ取るべき対策

このような脅威から自社を守るために、以下の対策を早急に実施することをお勧めします。

まず、自社でFreePBXを使用しているかどうかを確認してください。IT部門や外部の保守ベンダーに問い合わせ、使用している場合はバージョンを特定します。該当バージョンであれば、即座にセキュリティパッチを適用することが最優先です。

次に、PBXシステムの管理パネルへのアクセス制限を強化しましょう。管理画面へのアクセスを社内ネットワークからのみに限定する、多要素認証を導入する、管理者アカウントの棚卸しを行うなどの措置が有効です。

さらに、VoIPインフラ全体のセキュリティ監査を実施することを推奨します。FreePBXに限らず、IP電話に関連する機器やソフトウェアの脆弱性を洗い出し、対策状況を点検することで、攻撃を受ける前に弱点を把握できます。

加えて、不審な通話パターンや管理画面へのアクセスログを監視する体制を整えることも重要です。侵害の兆候を早期に発見できれば、被害を最小限に抑えることができます。

まとめ

FreePBXの大規模侵害は、企業の通信インフラがサイバー攻撃の新たな標的となっていることを示しています。パッチ適用の遅れが重大なセキュリティリスクにつながることを改めて認識し、VoIP環境を含めた包括的なセキュリティ対策が求められます。

自社のセキュリティ体制に不安がある場合は、専門家への相談をお勧めします。GXOでは180社以上の支援実績をもとに、セキュリティ監査からインシデント対応まで一気通貫でサポートしています。まずはお気軽にお問い合わせください。