ビジネスの重要プロセスを自動化している時、その自動化システム自体が弱点となる事態は、まさに悪夢だ。Progress Softwareの顧客が、同社のマネージドファイル転送(MFT)ソリューションであるMOVEit Automationで最近開示され、修正された2つの深刻な脆弱性によって、まさにその窮地に立たされている。
今回、特に注目すべきはCVE-2026-4670だ。CVSSスコア9.8という、もはや「カオスを招き入れる」一歩手前と言えるほどの高得点を持つこの脆弱性は、単なる理論上の問題ではない。攻撃者が容易に侵入できる、まさに「 gaping maw(開いた大口)」と言える代物なのだ。
信頼のアーキテクチャを掘り崩す
MOVEit Automationは、機密データを確実に、そして人的介入なしに転送する必要がある多くの企業にとって、まさに生命線だ。給与データ、顧客情報、コンプライアンスレポート——組織の血液とも言えるこれらのデータを安全に扱うための基盤である。本来、このシステムはセキュアでサーバーベースであり、複雑なファイル転送ワークフローをカスタムスクリプトなしで処理できるように設計されている。これは運用効率を重視する企業にとって、大きな魅力だ。しかし、この自動化への依存が裏目に出た。自動化プラットフォームの脆弱性は、単なる技術的な不具合ではなく、連鎖的な障害を引き起こす可能性を秘めているのだ。CVSS 9.8の認証バイパスという深刻な欠陥は、特にサービスバックエンドのコマンドポートインターフェースを標的としている。つまり、攻撃者がこれらのインターフェースに到達できれば、システムを欺き、正規ユーザーになりすまして不正アクセスを試みることができる。そして、これはまだ序の口に過ぎない。
さらに、CVE-2026-5174という、CVSS 7.7の高深刻度を誇る不適切な入力検証の脆弱性が存在する。これが前述の脆弱性と組み合わされると、システム内部に入り込んだ攻撃者は権限昇格を容易に行えてしまう。まるで、泥棒が玄関の鍵を開けるだけでなく、そのまま家中のマスターキーを見つけてしまうようなものだ。Progressの勧告は、事態の深刻さを赤裸々に物語っている。「MOVEit Automationにおける深刻および高深刻度の脆弱性は、サービスバックエンドコマンドポートインターフェースを介した認証バイパスおよび権限昇格を許容する可能性がある。悪用された場合、不正アクセス、管理者権限の取得、およびデータ漏洩につながる恐れがある。」これは、これらの問題が対処されなかった場合に起こりうるシナリオを、率直かつ冷徹に描写している。
「悪用された場合、不正アクセス、管理者権限の取得、およびデータ漏洩につながる恐れがある。」
これは訓練ではない。影響を受けるバージョンはMOVEit Automation <= 2025.1.4、<= 2025.0.8、<= 2024.1.7だ。Progressは修正済みバージョンとして、それぞれ2025.1.5、2025.0.9、2024.1.8を提供している。ユーザーはこれらのバージョンに、絶対にアップデートする必要がある。さらに、これらの問題を緩和するための回避策が存在しないという事実は、事態の緊急性を浮き彫りにしている。
悪用のパターンか?
Progressは、これらのMOVEit Automationの脆弱性が「現時点で」実際に悪用されている証拠はないと慎重に述べているが、同社の過去、そしてMOVEit製品ラインの過去は、長い影を落としている。MOVEit Transferの侵害、特にCl0pランサムウェアギャングによる広範な悪用については、我々も耳にしたはずだ。その実績だけでも、MOVEitユーザーは警戒を強めるべきだ。ある製品が繰り返し標的とされている場合、新たな深刻な脆弱性は、単に修正すべきバグとしてだけでなく、潜在的に侵害されたシステムの上に掲げられた赤旗として扱われるべきだ。これは恐怖を煽るためではない。信頼されているインフラストラクチャが既知の弱点となることで、攻撃者がどれほどの戦術的優位を得るかを認識することだ。過去のMOVEit脆弱性が容易に武器化されたことを考えると、攻撃者が侵入方法を見つければ、必ず実行するだろう。
この発見の背後には、Airbus SecLabのアナイス・ガンテ、デルフィーン・グールドゥ、クエンティン・リデル、マッテオ・リコルデウといった研究者たちがいる。彼らの功績は称賛に値する。我々が依存するデジタルインフラストラクチャを強化するために不可欠な作業だ。しかし、最終的なセキュリティの結果を左右するのは、MOVEit Automationを使用するすべての組織が直ちにパッチを適用するという義務、その下流への影響である。
なぜこれがエンタープライズファイル転送にとって重要なのか?
今回のMOVEit Automationに特化したインシデントは、企業が機密データをどのように交換・管理しているかという、より広範なアーキテクチャ上の懸念を浮き彫りにする。長年にわたり、制御性、監査可能性、効率性の観点から、MFTプラットフォームのような集中化・自動化されたソリューションへの移行が進んできた。これらは、手動ファイル転送や安全でないアドホックな方法にありがちな人的ミスを排除するように設計されている。しかし、これらのプラットフォームの固有の複雑さは、攻撃対象領域を集中させるという側面も持つ。MFTソリューションにおける単一の深刻な脆弱性であっても、攻撃者に組織の最も機密性の高いデータフローへの広範囲なピボットポイントを提供しうるのだ。これは、すべての貴重品を一つのかっちりとした金庫に入れ、その金庫に、残念ながら、既知の裏口があったようなものだ。これは再評価を迫る:自動化による効率性の向上は、その単一システムが侵害された場合の増幅されたリスクに見合うのか?多くの企業にとって、答えは「イエス」だったが、最近の一連のMOVEit関連インシデントは、セキュリティが「後付け」ではなく「組み込まれている」必要があることを痛感させる stark reminder(厳しい現実)だ。
ゼロデイ攻撃はいつになるのか?
これらの脆弱性の深刻さを考慮し、MOVEit製品が攻撃者に狙われてきた実績を鑑みれば、脅威アクターが既にこれらの開示された欠陥を分析し、悪用を試みていると考えるのが妥当だろう。勧告自体が、攻撃者にとってはロードマップのようなものだ。Progressは迅速なパッチ提供で対応したが、開示から広範なパッチ適用までの間は、常に危険な時期である。過去を振り返っても、深刻なMFT脆弱性は迅速に悪用されてきた。これらのCVEが、数週間、いや数日以内に実際の攻撃キャンペーンで登場しても、何ら不思議ではない。パッチ適用を遅らせる組織は、実質的に偵察および潜在的な侵害に対してドアを開け放っているのだ。
