概要
Progress Softwareは2026年5月4日、エンタープライズ向けマネージドファイル転送(MFT)ソリューション「MOVEit Automation」に存在する2件の深刻な脆弱性を修正するセキュリティアップデートをリリースした。特に重大なのがCVE-2026-4670(CVSSスコア: 9.8)で、未認証の攻撃者がリモートから認証を完全にバイパスできる可能性がある。もう1件のCVE-2026-5174(CVSSスコア: 7.7)は、認証済みユーザーが権限昇格を行える不適切な入力検証の問題だ。Progress社のアドバイザリによれば、両脆弱性を組み合わせることで「不正アクセス、管理者権限の乗っ取り、データ漏洩」につながる恐れがある。
現時点では積極的な悪用は報告されていないが、Shodanのデータによるとインターネット上に1,400件以上のMOVEit Automationインスタンスが公開されており、米国の地方・州政府機関を含む組織が影響を受ける可能性がある。Progress社は即時のパッチ適用を強く推奨している。
技術的な詳細
CVE-2026-4670の特性として、攻撃の複雑さが「低(Low)」であり、ユーザーのインタラクションや特別な権限も不要とされている点が重大なリスク要因となっている。脆弱性はサービスバックエンドのコマンドポートインターフェースを通じた認証バイパスを可能にするものだ。
影響を受けるバージョンと修正済みバージョン:
| 影響バージョン | 修正バージョン |
|---|---|
| 2025.1.4(17.1.4)以前 | 2025.1.5 |
| 2025.0.8(17.0.8)以前 | 2025.0.9 |
| 2024.1.7(16.1.7)以前 | 2024.1.8 |
修正の適用には「フルインストーラー」を使用したアップグレードが唯一の解決策であり、作業中のシステムダウンタイムが発生することに注意が必要だ。なお、両脆弱性はAirbus SecLabの研究者(Anaïs Gantet、Delphine Gourdou、Quentin Liddell、Matteo Ricordeau)が責任ある情報開示のプロセスを経てProgress社に報告した。
背景と過去の悪用事例
MOVEit製品は過去にも大規模なサイバー攻撃の標的となった経緯がある。2023年には、Clopランサムウェアグループがもう一方の製品「MOVEit Transfer」のゼロデイ脆弱性を悪用し、世界2,100以上の組織、6,200万人以上の個人の情報を侵害するという大規模インシデントが発生した。この事件はサプライチェーン攻撃の典型例として広く注目を浴び、MFT製品への脅威アクターの関心の高さを示した。
今回の脆弱性は現時点で悪用の証拠はないものの、過去の攻撃パターンを踏まえると、ランサムウェアグループを含む脅威アクターによる早期悪用のリスクは依然として高い。政府機関を含む重要インフラへの影響も懸念されることから、MOVEit Automationを利用している組織は速やかにパッチ済みバージョンへのアップグレードを行うことが強く推奨される。