2026年2月、サイバーセキュリティ業界に衝撃が走った。特権アクセス管理ソリューションの世界的リーダーであるBeyondTrust社の製品に、極めて深刻な脆弱性が発見されたのである。この脆弱性は「CVE-2026-1731」と識別され、CVSSv4スコアでほぼ最高値となる9.9という評価が与えられた。これは、認証なしでリモートからコードが実行される(RCE)可能性を意味し、その影響の甚大さから、セキュリティ専門家たちは直ちに警戒を呼びかけた。
この脆弱性は、BeyondTrust Remote Support(RS)のバージョン25.3.1以前、およびPrivileged Remote Access(PRA)のバージョン24.3.4以前に影響を及ぼす。Rapid7の報告によれば、特別に細工されたリクエストを送信することで、認証されていない攻撃者がサイトユーザーのコンテキストで任意のオペレーティングシステムコマンドを実行できるという。これは、企業のシステム全体に対する完全な制御を許す可能性があり、データ漏洩、サービス停止、さらにはランサムウェア攻撃への道を開くものだ。
脆弱性の発見は、Hacktron AIの研究者たちがAIを活用したバリアント分析を通じて行った。彼らの調査により、インターネットに公開されている約8,500ものオンプレミスインスタンスが、この比較的単純なエクスプロイトベクトルの影響を受ける可能性があることが明らかになった。BeyondTrustは、SaaSインスタンスに対しては2026年2月2日に自動的にパッチを適用したが、自社でホストしている顧客は手動でのアップデートが必須であり、対応が遅れれば甚大なリスクに晒されることになる。
BeyondTrustは、世界100カ国以上で20,000を超える顧客を抱え、Fortune 100企業の75%がそのサービスを利用している。この広範な普及率は、過去にも国家支援型アクターの標的となってきた歴史を持つ。このような背景から、CVE-2026-1731は、洗練された攻撃者にとって極めて魅力的な標的となり得ると、Rapid7は警鐘を鳴らしている。
脅威の現実化:PoC公開から実世界での悪用まで
CVE-2026-1731の深刻性が明らかになるやいなや、脅威アクターたちは驚くべき速さでこの脆弱性を悪用し始めた。BeyondTrustがセキュリティアドバイザリBT26-02を公開した2026年2月6日からわずか数日後、早くも実世界での悪用が確認されたのである。セキュリティ企業watchTowrは、そのグローバルセンサーネットワークを通じて「BeyondTrustに対する実世界での最初の悪用を観測した」と報告し、脅威インテリジェンス責任者のライアン・デューハースト氏もX(旧Twitter)でその事実を公表した。
watchTowrの分析によると、攻撃者はまず`get_portal_info`機能を悪用して`x-ns-company`の値を抽出し、その後WebSocketチャネルを確立するという手口を用いていた。この手法は、認証されていない状態からリモートコード実行を達成するための具体的なステップを示しており、攻撃者がいかに迅速かつ効率的に脆弱性を武器化したかを物語っている。BeyondTrustも、この脆弱性の悪用が認証されていないリモート攻撃者によるOSコマンド実行を可能にし、不正アクセス、データ流出、サービス妨害につながる可能性があると指摘していた。
さらに、GreyNoiseは、概念実証(PoC)エクスプロイトが利用可能になってから24時間も経たないうちに、CVE-2026-1731を標的とした偵察活動が観測されたことを報告している。この偵察セッションの86%を単一のIPアドレスが占めており、そのIPはフランクフルトのプロバイダーがホストする商用VPNサービスに関連付けられていた。GreyNoiseは、これを「新しいアクターではなく、CVE-2026-1731のチェックをツールキットに迅速に追加した確立されたスキャンオペレーション」と特徴付けている。
この一連の動きは、新たな脆弱性が公開されてから、それが脅威アクターによって武器化され、実世界で悪用されるまでの時間が劇的に短縮されている現実を浮き彫りにしている。防御側にとって、パッチ適用までの猶予期間はもはや存在しないに等しく、迅速な対応が不可欠であることを改めて示した形だ。
CISAの警告と連邦機関への緊急指令
実世界での活発な悪用が確認されたことを受け、米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2026年2月13日、CVE-2026-1731を「既知の悪用されている脆弱性(KEV)」カタログに追加した。この措置は、連邦政府の民間行政機関(FCEB)に対し、2026年2月16日までにこの脆弱性に対処するよう義務付けるものであり、その深刻性と緊急性が国家レベルで認識されたことを示している。
CISAがKEVカタログに追加したのはCVE-2026-1731だけではなかった。同日、他にも複数の深刻な脆弱性がリストアップされ、サイバーセキュリティの脅威が多岐にわたることを浮き彫りにした。その中には、Apple製品のメモリバッファの不適切な制限に関する「CVE-2026-20700」(CVSS 7.8)、Notepad++における整合性チェックなしのコードダウンロードの脆弱性「CVE-2025-15556」(CVSS 7.7)、SolarWinds Web Help Deskのセキュリティ制御バイパス「CVE-2025-40536」(CVSS 8.1)、そしてMicrosoft Configuration ManagerのSQLインジェクション脆弱性「CVE-2024-43468」(CVSS 9.8)が含まれていた。
これらの脆弱性もまた、それぞれ異なる攻撃ベクトルと影響範囲を持つものの、いずれも実世界での悪用が確認されているか、その可能性が指摘されている。例えば、AppleのCVE-2026-20700は、iOS 26以前のバージョンを標的とした極めて洗練された攻撃で、商業スパイウェアの配信に利用された可能性が示唆されている。また、SolarWinds Web Help DeskのCVE-2025-40536は、インターネットに公開されたインスタンスを悪用した多段階侵入の初期アクセスポイントとして利用された事例が報告されている。
CISAによるKEVリストへの追加は、これらの脆弱性が単なる理論上の脅威ではなく、実際に攻撃者によって積極的に利用されている現実を強調する。連邦機関に対しては、CVE-2025-40536には2026年2月15日まで、残りの3つの脆弱性には2026年3月5日までの修正期限が設けられており、迅速な対応が求められている。この一連の動きは、組織が直面するサイバー脅威の広がりと、それに対する防御の緊急性を明確に示している。
攻撃者の手口:SimpleHelpと高度な偵察活動
BeyondTrustのCVE-2026-1731を悪用した攻撃は、単なる初期アクセスに留まらず、その後のネットワーク内での活動にも洗練された手口が用いられていることが、セキュリティ企業Arctic Wolfの調査によって明らかになった。Arctic Wolfは、Remote SupportおよびPrivileged Remote Accessの展開環境を標的とした攻撃を検出し、攻撃者が永続化とラテラルムーブメントのために、リモート管理および監視(RMM)ツールである「SimpleHelp」を導入しようとしていたことを報告している。
この攻撃において、脅威アクターは複数のツールと技術を組み合わせていた。まず、「AdsiSearcher」を使用してActive Directoryのコンピューターインベントリを取得し、ネットワーク内の標的システムに関する詳細な情報を収集した。これは、攻撃者が環境を深く理解し、その後の活動を計画するための重要な偵察フェーズである。Active Directoryは、企業ネットワークにおける認証と認可の中心であり、その情報を掌握することは、攻撃者にとって極めて価値が高い。
次に、攻撃者は「PSexec」というツールを利用して、影響を受ける環境内の複数のデバイスにSimpleHelpのインストールを実行した。PSexecは、Windowsシステムでリモートプロセスを実行するための合法的なツールだが、攻撃者によって悪用されることで、マルウェアの展開やラテラルムーブメントの強力な手段となる。SimpleHelpが導入されることで、攻撃者は永続的なリモートアクセスチャネルを確立し、検出を回避しながらネットワーク内で自由に活動できるようになる。
さらに、Arctic Wolfは、影響を受けた環境の初期段階で「Impacket SMBv2セッションセットアップリクエスト」が観測されたことも報告している。Impacketは、ネットワークプロトコルを操作するためのPythonライブラリであり、SMBv2セッションのセットアップリクエストは、攻撃者がネットワーク共有へのアクセスを試みたり、認証情報を窃取したりする際によく用いられる。これらの具体的な技術的詳細からは、攻撃者がBeyondTrustの脆弱性を足がかりに、標的環境内で広範な偵察、永続化、およびラテラルムーブメントを企図していたことが読み取れる。
BeyondTrustを狙う影:過去のAPT攻撃との関連性
BeyondTrust製品が今回、CVE-2026-1731という深刻な脆弱性の標的となったことは、偶然ではない。このプラットフォームは、その広範な普及と提供する特権アクセス管理の性質上、過去にも国家支援型アクターを含む洗練された攻撃者たちの格好の標的となってきた歴史がある。Rapid7の分析が指摘するように、BeyondTrustのツールは「依然として重要な攻撃ベクトルであり、即時の防御行動が求められる」状況にある。
特に注目すべきは、中国のハッキンググループ「Silk Typhoon」が過去にBeyondTrust製品のゼロデイ脆弱性(CVE-2024-12356およびCVE-2024-12686)を武器化し、米国財務省に侵入して制裁関連の機密データにアクセスした事例である。この攻撃は、CISAから緊急指令が発令されるほどの重大な事態を引き起こした。Rapid7のその後の調査では、CVE-2024-12356の悪用には、当時未知であった基盤となるPostgreSQLツールの深刻なSQLインジェクション脆弱性(CVE-2025-1094)との組み合わせが必要であったことが判明している。
このような過去の事例は、BeyondTrust製品が単なるソフトウェアの脆弱性以上の意味を持つことを示唆している。それは、国家レベルの戦略的情報収集やサイバー戦争の文脈で、重要なインフラストラクチャへのアクセスポイントとして狙われる可能性が高いということだ。特権アクセス管理ソリューションは、企業内の最も機密性の高いシステムやデータへのゲートウェイとなるため、これを掌握することは攻撃者にとって計り知れない価値がある。
今回のCVE-2026-1731の悪用は、BeyondTrustが提供するセキュリティソリューションの重要性と、それを狙う脅威アクターの執拗な関心を改めて浮き彫りにしている。企業は、単にパッチを適用するだけでなく、過去の攻撃パターンや国家支援型アクターの戦術を理解し、多層的な防御戦略を構築する必要がある。
サプライチェーンの脆弱性:Notepad++事例からの教訓
CISAがKEVカタログに追加した他の脆弱性の中でも、特に「CVE-2025-15556」として知られるNotepad++の事例は、サプライチェーン攻撃の巧妙さとその潜在的な影響の大きさを浮き彫りにしている。この脆弱性は、Notepad++の更新メカニズムにおける整合性チェックの欠如を悪用するもので、攻撃者が更新トラフィックを傍受またはリダイレクトし、攻撃者制御のインストーラーをダウンロード・実行させることで、任意のコード実行を可能にするというものだった。
Rapid7の分析によると、この攻撃は中国に関連する国家支援型脅威アクター「Lotus Blossom」(別名Billbug、Bronze Elgin、G0030、Lotus Panda、Raspberry Typhoon、Spring Dragon、Thrip)に起因するとされている。このグループは少なくとも2009年から活動しており、その標的型攻撃では、これまで文書化されていなかったバックドア「Chrysalis」が配信された。このサプライチェーン攻撃は2025年12月2日に完全に阻止されたものの、Notepad++の更新パイプラインの侵害は、2025年6月から10月までの約5ヶ月間にわたって続いていたと推定されている。
DomainTools Investigations(DTI)チームは、このインシデントを「正確で、静かで、計画的な侵入」と表現し、運用上のノイズを可能な限り低く抑えるように設計された「秘密裏の情報収集ミッション」であったと特徴付けている。DTIはまた、この脅威アクターが「長い滞留時間と数年にわたるキャンペーンを好む」傾向があると指摘した。攻撃の重要な側面は、Notepad++のソースコード自体は無傷のまま残され、代わりにトロイの木馬化されたインストーラーに依存して悪意のあるペイロードを配信した点にある。これにより、攻撃者はソースコードレビューや整合性チェックを回避し、長期間にわたって検出されずに活動することが可能になった。
Palo Alto Networks Unit 42は、このキャンペーンが長期的な価値のある情報収集に焦点を当てており、アドバーサリー・イン・ザ・ミドル(AitM)機能を活用して、受信する更新リクエストを動的にフィンガープリントし、優先度の高いターゲットのみをフィルタリングしていたと述べている。信頼されたユーティリティのトラフィックフローをハイジャックすることで、攻撃者はベンダーに警告することなく配信メカニズムを武器化できたのである。LevelBlue SpiderLabsは、ユーザーに対しNotepad++をバージョン8.9.1以降にアップグレードし、必要に応じてWinGUp自動アップデーターを無効にし、更新ユーティリティが正当な更新サーバーとのみ通信することを確認するよう促している。
差し迫る防御の課題と企業の責任
BeyondTrustのCVE-2026-1731の事例、そしてCISAがKEVカタログに追加した一連の脆弱性、特にNotepad++のサプライチェーン攻撃の教訓は、現代のサイバーセキュリティにおける防御側の課題がかつてないほど差し迫っていることを明確に示している。脆弱性が公開されてから実世界で悪用されるまでの時間は劇的に短縮されており、企業は迅速かつ断固たる行動を取らなければ、深刻な被害に直面するリスクがある。
BeyondTrustの自社ホスト型顧客は、Remote Support(RS)をバージョン25.3.2以降、Privileged Remote Access(PRA)をバージョン25.1.1以降に直ちにアップデートすることが不可欠である。SaaSインスタンスは自動的にパッチが適用されたものの、オンプレミス環境の管理者は、ベンダーが提供するガイダンスに従い、手動での修正を遅滞なく実施しなければならない。この対応の遅れは、攻撃者にとって格好の機会となり、企業ネットワークへの侵入を許すことになるだろう。
今回のBeyondTrustの事例は、AIを活用した脆弱性分析(Hacktron AIによる発見)の重要性も浮き彫りにした一方で、その発見から悪用までのスピードは、防御側の対応能力を常に試すものである。継続的なセキュリティ監視、脅威インテリジェンスの活用、そしてインシデントレスポンス計画の定期的な見直しと訓練が、もはや選択肢ではなく必須の要件となっている。
BeyondTrustのような特権アクセス管理ソリューションは、企業のセキュリティアーキテクチャの中核をなすものであり、その脆弱性は広範な影響を及ぼす。過去に国家支援型アクターに狙われた経緯を鑑みれば、企業は単一の脆弱性対策に留まらず、多層防御、ゼロトラスト原則の適用、そしてサプライチェーン全体のセキュリティ強化に継続的に投資する必要がある。サイバー脅威の進化は止まることなく、企業は常に一歩先を行く防御戦略を模索し続ける責任がある。
参考情報
本記事は以下の情報源を参考に作成されました:
- -CVE-2026-1731: Critical Unauthenticated Remote Code Execution in BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) - https://www.rapid7.com/blog/post/etr-cve-2026-1731-critical-unauthenticated-remote-code-execution-rce-beyondtrust-remote-support-rs-privileged-remote-access-pra/
- -Researchers Observe In-the-Wild Exploitation of BeyondTrust CVSS 9.9 Vulnerability - https://thehackernews.com/2026/02/researchers-observe-in-wild.html