【緊急】Squid HTTPプロキシの重大脆弱性CVE-2025-62168で認証情報漏えい、CVSS 10.0級の危険度

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

オープンソースHTTPプロキシ「Squid」に最高危険度の脆弱性が発覚
1. CVE-2025-62168の技術的詳細
実際のフォレンジック調査で見えた認証情報漏えいの恐ろしさ
1. 漏えいする可能性のある情報
脆弱性の発生原理：エラーページ生成の落とし穴
影響を受けるバージョンと緊急対応策
1. 影響範囲
2. 緊急対応策
企業が今すぐ実施すべきセキュリティ対策
1. immediate対策（緊急実施）
2. 中長期的対策
インシデント発生時のフォレンジック調査ポイント
1. 調査すべき証跡
2. 被害範囲の特定
まとめ：迅速な対応が被害拡大を防ぐ鍵

オープンソースHTTPプロキシ「Squid」に最高危険度の脆弱性が発覚

2025年10月11日、インターネットインフラで広く使われているオープンソースのHTTPプロキシ「Squid」に、極めて深刻な脆弱性CVE-2025-62168が発見されました。この脆弱性は情報漏えいに分類されており、GitHubのアドバイザリではクリティカル、外部記事ではCVSS 10.0級という最高危険度として報告されています。

現役のCSIRTメンバーとして、これまで数多くのサイバーインシデントを調査してきましたが、この脆弱性は特に企業のプロキシサーバーを狙った攻撃において、認証情報の大量流出という深刻な被害を引き起こす可能性があります。

CVE-2025-62168の技術的詳細

この脆弱性のCVSS v3ベクタは「AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N」となっており、以下の特徴があります：

ネットワーク経由での攻撃が可能：インターネット越しに攻撃できる
低複雑性：特別な技術や知識がなくても悪用可能
認証不要：攻撃者が事前に認証を取得する必要がない
ユーザー操作不要：被害者が特別な操作をしなくても攻撃が成立
スコープ変更あり：影響範囲が他のシステムにも波及する

実際のフォレンジック調査で見えた認証情報漏えいの恐ろしさ

過去に調査した類似のプロキシサーバー攻撃事例では、ある中小企業で社内のすべてのWeb通信が外部に筒抜けになっていたケースがありました。攻撃者は漏えいした認証情報を使って、段階的に社内システムへの侵入を拡大していったのです。

今回のCVE-2025-62168では、特に以下の情報が漏えいするリスクがあります：

漏えいする可能性のある情報

Basic認証のユーザー名・パスワード
Bearer トークン
Cookie情報
カスタム認証ヘッダー
API キー

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

脆弱性の発生原理：エラーページ生成の落とし穴

この脆弱性は、Squidがエラーページを生成する際の処理に問題があります。具体的には：

1. テンプレート展開でのマスク漏れ

エラーページのテンプレートで使用される「%R」（リクエスト情報）や「%W」（mailtoリンク用データ）の展開時に、本来マスクされるべき認証ヘッダーが平文で表示されてしまいます。

2. TRACE応答での情報露出

HTTPのTRACEメソッドへの応答で、リクエストヘッダーがそのまま返されてしまう問題があります。

3. email_err_data機能の危険性

最も危険なのは「email_err_data」機能が有効になっている場合です。この機能により、エラー発生時にメール本文にリクエストヘッダーがそのまま含まれてしまい、認証情報漏えいのリスクが飛躍的に高まります。

影響を受けるバージョンと緊急対応策

影響範囲

Squid 7.1までのすべてのバージョンが影響を受けます。

緊急対応策

1. 即座にバージョンアップ
Squid 7.2へのアップデートを最優先で実施してください。

2. パッチ適用
すぐにアップデートできない場合は、コミット0951a06のパッチを適用します。

3. email_err_data機能の無効化
この機能が有効になっている場合は、緊急で無効化してください。

4. ログ監視の強化
エラーページへのアクセスや異常なTRACEリクエストがないか監視を強化します。

企業が今すぐ実施すべきセキュリティ対策

フォレンジック調査の現場で痛感するのは、こうした脆弱性を悪用された場合の被害の深刻さです。特に中小企業では、一度認証情報が漏えいすると、その後の被害拡大を食い止めることが非常に困難になります。

immediate対策（緊急実施）

Squidの緊急アップデート
プロキシサーバーのアクセスログ点検
認証情報の棚卸しと変更
不審なトラフィックの検知

中長期的対策

プロキシサーバーのような重要なインフラコンポーネントを保護するためには、包括的なセキュリティ対策が必要です。

個人事業主・小規模企業の方へ
まずは基本的なセキュリティ対策として、信頼できるアンチウイルスソフトの導入をお勧めします。また、リモートワークが多い場合は、通信経路を暗号化するVPN も併用することで、多層防御を実現できます。

中規模企業の方へ
自社のWebサイトやWebアプリケーションに同様の脆弱性がないか、定期的なWebサイト脆弱性診断サービスを実施することが重要です。プロによる診断で、見落としがちな脆弱性を早期発見できます。

インシデント発生時のフォレンジック調査ポイント

もしCVE-2025-62168を悪用された疑いがある場合、以下の観点でフォレンジック調査を実施します：

調査すべき証跡

Squidのアクセスログ：TRACEメソッドやエラーページへの異常なアクセス
エラーページのキャッシュ：認証情報が含まれたエラーページの痕跡
メールログ：email_err_data機能による情報送信
ネットワークトラフィック：異常な通信パターン

被害範囲の特定

認証情報漏えいが確認された場合は、その情報を使用可能なすべてのシステムで不正アクセスの痕跡を調査する必要があります。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

まとめ：迅速な対応が被害拡大を防ぐ鍵

CVE-2025-62168は、その技術的特性と影響範囲から見て、2025年で最も重要な脆弱性の一つと言えるでしょう。CVSS 10.0級という最高危険度の評価は決して大げさではありません。

フォレンジックアナリストとしての経験から言えば、こうした重大脆弱性への対応で最も重要なのは「迅速性」です。攻撃者は脆弱性情報の公開から数時間以内に攻撃を開始することが珍しくありません。

Squidを使用している組織は、今すぐバージョン確認と対策実施を行ってください。そして、今回の件を機に、自社のセキュリティ体制全体を見直すことをお勧めします。