SolarWinds製品で複数脆弱性が同時悪用される異常事態——米当局が緊急警告
米国のサイバーセキュリティ当局が、企業向けITサポートツールなどで使われる複数の製品について、脆弱性の悪用が確認されたとして緊急警告を発しました。特にSolarWinds製品では、複数の脆弱性が同時に狙われるという異常事態となっています。
米当局が4件の脆弱性を悪用リストに追加
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間2026年2月12日、悪用が確認された脆弱性カタログ(KEV)を更新し、新たに4件の脆弱性を登録したと発表しました。このリストは、米国の行政機関が対応を義務付けられる重要度の高い脆弱性を管理するものです。
今回追加されたのは、SolarWinds Web Help Deskの脆弱性「CVE-2025-40536」およびMicrosoft Configuration Managerの脆弱性「CVE-2024-43468」などです。これらの脆弱性は既に攻撃者によって実際に悪用されていることが確認されており、早急な対応が求められています。
SolarWinds製品で複数脆弱性が同時悪用される深刻事態
特に深刻なのは、SolarWinds Web Help Deskにおける状況です。今回追加された「CVE-2025-40536」は、セキュリティ制御をバイパスされる可能性がある脆弱性で、SolarWindsが現地時間2026年1月28日に公開したセキュリティアドバイザリで明らかにされていました。
さらに問題なのは、同じ製品で別の脆弱性「CVE-2025-40551」についても悪用が確認され、既に2月3日にKEVリストへ登録済みという点です。つまり、同一製品に対して複数の脆弱性が同時期に狙われているという、極めて危険な状況が発生しています。
Microsoft製品でもSQLインジェクション攻撃を確認
Microsoft Configuration Managerでは、認証を必要とすることなく、細工したリクエストによりSQLインジェクションが可能となる脆弱性「CVE-2024-43468」の悪用が確認されています。この脆弱性は、攻撃者が認証なしでデータベースに不正アクセスできる可能性があり、企業の機密情報が危険にさらされる恐れがあります。
SQLインジェクション攻撃は一般的に、Webアプリケーションの入力フィールドに悪意のあるSQL文を挿入し、データベースから機密情報を窃取したり、システムを改ざんしたりする手法です。認証が不要ということは、攻撃の敷居が非常に低いことを意味しています。
企業が取るべき緊急対応策
これらの製品を利用している企業は、直ちに以下の対応を検討する必要があります。まず、該当製品のバージョンを確認し、ベンダーから提供されているセキュリティパッチが適用されているかをチェックすることが重要です。
特にSolarWinds Web Help Deskを利用している組織では、複数の脆弱性が同時に狙われている状況を踏まえ、システムの監視を強化し、不審なアクセスログがないかを緊急点検することが推奨されます。また、可能であれば一時的にインターネットからのアクセスを制限することも検討すべきでしょう。
一般的に、このような緊急事態では、パッチ適用だけでなく、ネットワークセグメンテーションの見直し、アクセス権限の最小化、バックアップデータの整合性確認なども並行して実施することが重要とされています。
短期的影響:同一製品で複数脆弱性が同時悪用される事態は、攻撃者が組織的かつ継続的にSolarWinds製品を標的にしていることを示唆しています。企業は緊急パッチ適用と監視強化が急務となり、IT部門のリソースが集中的に投入される状況が予想されます。
中長期的影響:この事例は、単一ベンダーへの依存リスクを浮き彫りにしており、企業のベンダー選定基準やリスク管理体制の見直しが進む可能性があります。また、米当局のKEV運用が活発化することで、脆弱性対応の優先順位付けがより明確になり、セキュリティ投資の効率化が進むと考えられます。
読者への示唆:該当製品を利用している企業は、ベンダーのセキュリティアドバイザリを定期的にチェックし、パッチ管理プロセスの自動化を検討すべきです。また、重要システムについては代替手段の確保や、インシデント対応計画の見直しを行うことで、同様の事態への備えを強化することが重要です。
