
2025年10月上旬、Redis の Lua スクリプトエンジンに蓄積されていた致命的な欠陥である RediShell RCE 脆弱性 が公表されました。Wiz が「RediShell」と命名した CVE-2025-49844 は、Lua サンドボックスを脱出してホストレベルのリモートコード実行(RCE)を引き起こす可能性のある use-after-free 脆弱性 です。
Redis 側および研究者は速やかなパッチ適用を推奨しており、全体として深刻度は 「致命的(Critical)」に近い レベルと評価されています。
RediShell RCE 脆弱性(CVE-2025-49844) 概要

RediShell(CVE-2025-49844)は、Redis の Lua インタプリタにおける use-after-free 型のメモリ破損(メモリ破壊)です。特別に細工された Lua スクリプトがガベージコレクタの挙動を操作することでサンドボックスの境界を突破し、ネイティブコードの実行を可能にしてしまいます。
この脆弱性は約 2012 年頃に導入されたコード経路に起因しており、Lua スクリプティングが有効になっている多くの Redis ビルドが影響を受ける可能性があります。とくに認証が無効化された公開環境では、自動スキャンだけで悪用されるリスクが高いため、速やかな対処が必要です。
Criminal IP IT資産検索でRediShell RCE 脆弱性を分析
Criminal IP IT資産検索で 「product: Redis」で検索すると、インターネットに公開されている Redis インスタンスを迅速に特定できます。
Criminal IP Search Query: “product: Redis”

2025年10月27日現在、Criminal IP で検索された Redis インスタンスは合計 59,755 件 に達します。国別では 米国が 11,863 件 で最も多く観測され、次いで 中国 6,473 件、フランス 5,012 件 の順となっています。
また、cve_id フィルタを併用することで、特定の脆弱性に影響を受けるインスタンスだけを絞り込んで検出することが可能です。
Criminal IP Search Query: “cve_id: CVE-2025-49844”

cve_id フィルタを使用して脆弱性の影響を受けるインスタンスを確認した結果cve_id:CVE-2025-49844のクエリで検索した結果、2025年10月27日時点で世界中に 8,500件 のインスタンスが確認されました。これは、多数の機器がまだパッチ未適用のままインターネット上に露出している可能性が高く、速やかなセキュリティ対策が必要であることを示しています。
とくに多くのインスタンスが Inbound項目に対して「Dangerous」または「Critical」タグ を付与されています。これは当該 Redis インスタンスがパブリック経路から直接アクセス可能であることを意味しており、攻撃者が自動スキャンのみで脆弱なサーバを発見して悪意ある Lua スクリプトを送信し、ホストレベルでの侵害を試みるリスクがあることを示します。
(ご参考までにこの機能は Criminal IP の スタータープラン以上で利用可能です。)
Criminal IP 要素分析から見るRediShell RCE 脆弱性の国別要素
上記の検索結果の右下にある「もっと見る」ボタンをクリックすると、基本的な検索結果に加えて、国別要素分析の情報も表示されます。

Criminal IP 要素分析で確認した結果、RediShell RCE 脆弱性の影響を受けるインスタンスは 米国 1,887 件、フランス 1,324 件、ドイツ 929 件 の順に多く、これら上位 3 カ国だけで 全体露出の約 50%以上 を占めています。
これは、Redis インフラが特定地域に集中しているか、これらの国のパブリックインフラ上で認証未設定のインスタンスが比較的多く発見されていることを示唆します。
また、日本は国別順位で20位に位置しており、合計 67件の露出インスタンスが確認されました。
RediShell RCE 脆弱性 — 特定 IP アドレスの追加分析
Criminal IP の IP Report ページでは、特定の IP アドレスがどの脆弱性の影響を受けているか、悪用の履歴、開放ポート、IP の所在地、WHOIS 情報などの詳細を確認できます。

cve_id: CVE-2025-49844 で絞り込んだ検索結果から任意の IP をクリックすると、当該ホストで 15 個のオープンポート と 12 件の脆弱性 が検出されました。
そのうちポート 6379(Redis) の公開は、RediShell 脆弱性と直接関係するため、最優先で点検すべき項目として特定されました。併せてポート 3306(MySQL) には複数の CVE が紐づいており、データベースの露出や脆弱性の存在が疑われる状態です。
このホストは多数のポートおよび複数サービスが同時に露出している 複合的な露出状態 にあり、単一の脆弱性が悪用されただけでも影響範囲が大きく拡大するリスクがある点に留意する必要があります。
RediShell RCE 脆弱性の悪用シナリオ
攻撃者が RediShell を悪用してシステム全体を掌握する典型的な流れは、以下のとおりです。
- 初期侵入
攻撃者は特殊に細工した悪意ある Lua スクリプトを Redis に送信し、use-after-free 型の脆弱性を悪用します。 - サンドボックス脱出
悪意あるスクリプトが Lua のサンドボックス境界を突破し、任意のネイティブコードの実行を達成します。 - 持続的アクセスの確保
攻撃者はリバースシェルを設置したりバックドアを埋め込んだりして、持続的なリモートアクセスを確保します。 - システム侵害・損害
攻撃者はホストやサービスから認証情報(例:SSH キー、IAM トークン、証明書)を窃取し、マルウェアやクリプトマイナーを導入したり、Redis やホスト上の機密データを窃取したりします。 - 横展開(ラテラルムーブ)
窃取した IAM トークンなどの資格情報を用いて他のクラウドサービスやシステムへアクセスを拡大し、権限を昇格させ、さらに追加のシステムを侵害します。
このシナリオは、RediShell 脆弱性が単なるプロセスの不具合を超えてホスト全体の侵害につながり得ることを示しています。したがって、初期検知・遮断に加え、認証の強化・ネットワーク分離・継続的なモニタリングが非常に重要です。
RediShell RCE 脆弱性 対応推奨事項
- パッチ適用:
Redis の公式セキュリティ勧告に従い、影響を受けるバージョン以上へ速やかにアップグレードしてください。パッチ適用が遅れるシステムについては、暫定的な緩和策を併用しつつ、迅速なパッチ適用スケジュールを策定してください。 - 認証の有効化:
AUTHやACLを有効化し、すべての接続に対して認証を要求してください。デフォルトイメージで配布されており認証が無効になっているインスタンスは優先的に点検する必要があります。 - 不要なコマンドの無効化:
EVAL・EVALSHA等の Lua 実行関連コマンドは、不要であれば無効化するか権限から削除して攻撃面を縮小してください。適用前に、それらのコマンドを正規のサービスが使用していないか必ず確認してください。 - ネットワーク遮断とアクセス制限:パブリックインターネットから直接アクセス可能な Redis ポート(既定 6379)は、ファイアウォールやセキュリティグループで遮断してください。Redis へのアクセスは、許可されたアプリケーションサブネット、VPN、またはバスチオン経由のルートに限定するよう構成してください。
- 継続的な検知・モニタリング:
Criminal IP のような脅威インテリジェンスソリューションを活用し、インターネットへの露出状況や未パッチ/認証未設定のインスタンスの状態を継続的に監視し、異常兆候を常時検出できる体制を整えてください。
FAQ
Q1. 当社環境が実際に影響を受けているか、素早く確認するにはどうすればよいですか?
影響の有無を確認するためには、まず Redis のバージョンと設置場所を点検することが重要です。内部ネットワークではバージョンが 8.2.1 以下 でないかを確認し、外部ネットワークについては Criminal IP のような攻撃対象領域管理(ASM)ツールを用いて product: Redis または cve_id: CVE-2025-49844 のクエリで公開されているインスタンスを探索してください。特に ポート6379 が外部に開放されている、あるいは 認証が設定されていない インスタンスは優先的に点検することをおすすめします。
Q2. パッチを直ちに適用することが難しい場合、どのような緩和策を優先すべきですか?
パッチ適用が遅れる場合、まず 認証機能(AUTH/ACL)の有効化 と ネットワークアクセス制限 が最も効果的です。具体的には、Redis のポート(既定 6379)をパブリックインターネットから遮断し、内部ネットワークや VPN 経由のみでアクセス可能とする構成にしてください。
加えて、EVAL・EVALSHA などの Lua スクリプト実行コマンドを制限することで攻撃面を縮小でき、パッチ適用前でも悪用可能性を大幅に下げられます。
Q3. 侵害が疑われる場合、どのように対応すればよいですか?
侵害が疑われる場合は、当該ホストを直ちにネットワークから隔離し、プロセス、ログ、ネットワークトラフィックを含むフォレンジック証拠を確保することを最優先に行ってください。その後、SSH キーや API トークンなどの資格情報を回収・置換し、クリーンイメージにて再展開するか最新パッチを適用して復旧してください。必要に応じて、SIEM/EDR のログや Criminal IP 等の脅威インテリジェンスを連携させ、横展開や追加被害の有無を確認することを推奨します。
結論
RediShell RCE 脆弱性(CVE-2025-49844)は、単なるプロセスのクラッシュを超える致命的な脆弱性であり、認証が未設定でパブリックに露出している環境では即時の RCE 悪用リスクが非常に高いです。対応の優先順位は明確で、まずパッチ適用を最優先に行い、パッチ適用の前後を通じて以下を並行して実施してください:認証の有効化(AUTH/ACL)→ ネットワーク分離(パブリック遮断)および EVAL の制限 → 継続的な検出・モニタリング。
特に、同一ホスト上で Redis のほかに DB・FTP・Web サービスなどが併存して公開されている「複合露出」状態の場合は、各サービスの脆弱性まで含めた同時点検・復旧を行う統合的な対応が必要です。
迅速なパッチ適用と緩和策、そして Criminal IP のような脅威インテリジェンスを活用した常時モニタリングを組み合わせることが、RediShell による大規模被害を防ぐ最も有効な手段です。
なお、関連してOracle EBS 脆弱性 CVE-2025-61884 : 認証なしで構成データに到達するRuntime UIの脆弱性 をご参照ください。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース : Criminal IP (https://www.criminalip.io/ja), HELP NET SECURITY (https://www.helpnetsecurity.com/2025/10/07/redis-patches-critical-redishell-rce-vulnerability-update-asap-cve-2025-49844/)
