Progress、ShareFileユーザーにStorage Zone Controllerの停止を指示 セキュリティ上の脅威が見つかる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > Progress、ShareFileユーザーにStorage Zone Controllerの停止を指示 セキュリティ上の脅威が見つかる

デイリーサイバーアラート

Silobreaker-CyberAlert

脆弱性

Progress、ShareFileユーザーにStorage Zone Controllerの停止を指示 セキュリティ上の脅威が見つかる

nosa

nosa

2026.07.13

Progress、ShareFileユーザーにStorage Zone Controllerの停止を指示 セキュリティ上の脅威が見つかる

The Hacker News – Jul 10, 2026

Progress SoftwareはShareFileのユーザーに対し、Storage Zone Controllerを稼働させているWindowsサーバーを停止するよう指示した。The Hacker Newsによると、同社は「万全を期すための措置」として影響を受けるアカウントへのアクセスを一時的に無効化し、「外部からのセキュリティ上の脅威」に対応していることを認めているという。

 

この指示は、ある顧客が10日に同社からのメールをRedditの「r/sysadmin」コミュニティに投稿したことで公になったようだ。Progressはステータスページでもこの障害を認め、同日の更新でStorage Zone Controllerを利用する顧客のステータスを「not operational(稼働停止)」とし、調査中であることを明らかにした。

 

10日の時点でShareFileのアカウントやデータへの不正アクセスの兆候は確認されておらず、脅威を認識した直後に顧客へ通知を行ったと説明されている。影響を受けるのはStorage Zone Controllerのみで、標準的なクラウド専用のShareFileアカウントは対象外。脅威の具体的な内容や、その背後にいる攻撃者、稼働再開の時期などについては明らかにされていない。

 

Controllerは企業が自社で運用するサーバーであり、ShareFileのクラウドを利用してファイルの共有・管理を行いながら、ファイル自体を自社のストレージに保持することができる。通常はネットワークの境界に配置され、インターネットからアクセス可能な状態にあるため、この「露出」している特性が利便性を高める一方で狙われやすさにつながっているそうだ。

豪、世界的な攻撃キャンペーンについて警告 脆弱なCMSプラットフォームが標的に(CVE-2025-34085、CVE-2020-36847他)

BleepingComputer – July 11, 2026

オーストラリアサイバーセキュリティセンター(ACSC)は、脆弱性のあるコンテンツ管理システム(CMS)やプラグインを標的とする世界規模の攻撃キャンペーンについて警告した

 

ACSCによると、豪州の多くの中小企業がすでに被害を受けており、各社のWebサイトにWebシェルが設置される事態となっているようだ。Webシェルは侵害されたサイトへの永続的なアクセスを可能にするもので、攻撃者はこれを利用してサービスの妨害、認証情報の窃取、追加のマルウェアの設置、ネットワーク内部へのさらなる侵入を行うことができる。

 

このキャンペーンではWordPress、Craft CMS、MaxSite CMS、MetInfo CMS、Joomla JCEなど、複数のCMSプラットフォームやプラグインの脆弱性が悪用されている模様。具体的な製品として以下の名前が挙げられている。

 

  • Simple File List(WordPress)– CVE-2025-34085、CVE-2020-36847
  • WavePlayer(WordPress)– CVE-2025-12057
  • BerqWP(WordPress)– CVE-2025-7443
  • WPBookit(WordPress)– CVE-2025-7852
  • Ninja Forms(WordPress)– CVE-2026-0740
  • ThemeREX Addons(WordPress)– CVE-2026-1969
  • Breeze Cache(WordPress)– CVE-2026-3844
  • pay-uz(WordPress)– CVE-2026-31843
  • ACF Extended(WordPress)– CVE-2025-13486
  • Sneeit Framework – CVE-2025-6389
  • WPvivid Backup(WordPress)– CVE-2026-1357
  • Gravity Forms(WordPress)– CVE-2025-12352
  • GutenKit/Hunk Companion(WordPress)– おそらくCVE-2024-9234
  • Craft CMS – CVE-2025-32432
  • MaxSite CMS – CVE-2026-3395
  • MetInfo CMS – CVE-2026-29014
  • Joomla JCE – CVE-2026-48907

 

さらにACSCは、このキャンペーンがAIによって支援されている可能性があると指摘。Webサイト管理者にはCMSやテーマ、プラグインに最新のセキュリティ更新を適用するだけでなく、未使用のコンポーネントを削除し、可能な限り自動更新を有効にするよう呼びかけている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ