米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、VMware Aria Operationsに存在する深刻なリモートコード実行(RCE)脆弱性「CVE-2026-22719」が、既に実際の攻撃で悪用されていることを確認し、その危険性を強く警告しました。この脆弱性は、認証されていない攻撃者が標的システム上で任意のコマンドを実行できるというもので、企業インフラに甚大な被害をもたらす可能性を秘めています。
CISAは、この脆弱性を「既知の悪用済み脆弱性(KEV)」カタログに追加し、連邦政府の民間機関に対し、2026年3月24日までにこの問題に対処するよう義務付けました。これは、この脆弱性がもたらす差し迫った脅威のレベルがいかに高いかを示す明確なシグナルです。サイバーセキュリティコミュニティ全体に、迅速な対応が求められています。
Broadcomは、この脆弱性が悪用されているという報告を認識しているものの、その主張を独自に確認することはできないと述べています。しかし、CISAの警告は、この脆弱性が単なる理論上の脅威ではなく、現実世界で積極的に悪用されていることを示唆しており、企業はBroadcomの公式な確認を待つことなく、直ちに対策を講じる必要があります。
この事態は、企業が日常的に使用する基幹システムに潜む脆弱性が、いかに迅速に攻撃者の標的となり得るかを示す新たな事例と言えるでしょう。特に、VMware Aria Operationsのような広範なインフラ監視プラットフォームが悪用されることは、サプライチェーン全体に波及するリスクをはらんでいます。
標的となったVMware Aria Operations:企業監視プラットフォームの盲点
VMware Aria Operationsは、企業がサーバー、ネットワーク、クラウドインフラストラクチャのパフォーマンスと健全性を追跡・監視するための重要なエンタープライズプラットフォームです。このような基幹システムが攻撃者の標的となることは、そのシステムが持つ特権的なアクセスと、企業インフラ全体への影響力を鑑みると、極めて深刻な事態と言えます。
CVE-2026-22719は、CVSSスコア8.1の「重要」と評価されたコマンドインジェクションの脆弱性です。このスコアは、認証なしでリモートからコードが実行される可能性を示しており、攻撃者にとって非常に魅力的な標的となります。企業監視プラットフォームは、通常、ネットワーク内の広範な情報にアクセスできるため、一度侵害されると、攻撃者は容易に内部ネットワークを横断し、さらなる攻撃を展開する足がかりを得てしまう恐れがあります。
Broadcomの勧告によると、「悪意のある認証されていないアクターは、サポート支援製品の移行が進行中に、この問題を悪用してVMware Aria Operationsで任意のコマンドを実行し、リモートコード実行につながる可能性があります」と説明されています。この記述は、特定の条件下で脆弱性が悪用されることを示唆していますが、その条件が日常的な運用において発生し得るものであるため、リスクは極めて高いと言えます。
この脆弱性が悪用されることで、攻撃者は企業の監視システムを乗っ取り、機密情報の窃取、システムの改ざん、さらにはランサムウェアの展開など、多岐にわたる悪質な活動を実行する可能性があります。企業は、自社の監視システムが単なるツールではなく、潜在的な攻撃経路となり得ることを認識し、そのセキュリティを最優先事項として扱う必要があります。
攻撃のメカニズム:認証不要のコマンド実行を可能にする脆弱性
CVE-2026-22719は、具体的にはコマンドインジェクションの脆弱性として分類されています。これは、アプリケーションがユーザー入力データを適切に検証せずに、そのデータをシステムコマンドの一部として実行してしまう場合に発生する一般的な脆弱性です。このケースでは、認証されていない攻撃者が、この欠陥を悪用してVMware Aria Operations上で任意のシステムコマンドをリモートで実行できる点が、その危険性を際立たせています。
Broadcomのセキュリティアドバイザリでは、「サポート支援製品の移行が進行中」という特定の状況下でこの脆弱性が悪用される可能性が指摘されています。この文言は、攻撃が成功するためには特定のサービスやプロセスがアクティブである必要があることを示唆していますが、詳細な技術的メカニズムについては現時点では公開されていません。しかし、CISAが「悪用済み」と認定した以上、攻撃者はこの特定の条件を悪用する具体的な手法を既に確立していると考えるべきでしょう。
認証なしでRCEが可能であるという事実は、攻撃者が標的システムに事前にアクセス権を持つ必要がないことを意味します。これは、インターネットに公開されている脆弱なVMware Aria Operationsインスタンスが、誰でも容易に標的となり得ることを示しており、攻撃の敷居を大幅に下げています。このような特性を持つ脆弱性は、通常、広範なスキャンと自動化された攻撃によって迅速に悪用される傾向があります。
現時点では、この脆弱性が具体的にどのように悪用されているか、また、どのような脅威アクターが関与しているかについての技術的な詳細は公には開示されていません。BleepingComputerはBroadcomに問い合わせを行いましたが、回答は得られていません。この情報の不足は、防御側が効果的な検出・防御策を講じる上で課題となりますが、既知の事実に基づいた迅速なパッチ適用と回避策の実施が何よりも重要です。
広がる影響範囲:関連製品と緊急パッチの展開
この深刻な脆弱性CVE-2026-22719は、VMware Aria Operationsだけでなく、関連する複数の製品に影響を及ぼします。具体的には、VMware Cloud FoundationおよびVMware vSphere Foundation 9.x.x.x、そしてVMware Aria Operations 8.xが影響を受けるとされています。これらの製品は、多くの企業の仮想化インフラストラクチャの中核をなすものであり、その影響範囲は広範にわたります。
Broadcomは、この脆弱性に対処するため、2026年2月24日にセキュリティパッチをリリースしました。VMware Cloud FoundationおよびvSphere Foundation 9.x.x.xについてはバージョン9.0.2.0で、VMware Aria Operations 8.xについてはバージョン8.18.6で修正が適用されています。これらのパッチは、VMSA-2026-0001アドバイザリの一部として公開されました。
注目すべきは、このアドバイザリにはCVE-2026-22719だけでなく、他にもCVE-2026-22720(保存型クロスサイトスクリプティング脆弱性)とCVE-2026-22721(管理者アクセスにつながる可能性のある権限昇格脆弱性)といった複数のセキュリティ欠陥が同時に修正されている点です。これは、VMware製品群におけるセキュリティ強化の必要性が高まっていることを示唆しています。
企業は、自社の環境で使用しているVMware製品のバージョンを確認し、影響を受ける製品を使用している場合は、可能な限り速やかにこれらの最新パッチを適用することが強く推奨されます。特に、CISAが悪用を確認している状況下では、パッチ適用を遅らせることは、組織を深刻なサイバー攻撃のリスクに晒すことになります。
緊急対応:CISAが連邦機関に課した期限と回避策の詳細
CISAは、このVMware Aria Operationsの脆弱性CVE-2026-22719が悪用されているという事実を受け、連邦政府の民間機関(FCEB)に対し、2026年3月24日までに必要な修正を適用するよう厳格な期限を設けました。この期限設定は、この脆弱性が国家安全保障上も重大なリスクをもたらすとCISAが判断していることの表れです。民間企業もこの緊急性を認識し、同様の迅速な対応が求められます。
パッチを直ちに適用できない組織のために、Broadcomは一時的な回避策も提供しています。これは、「aria-ops-rce-workaround.sh」という名称のシェルスクリプトで、各Aria Operationsアプライアンスノード上でroot権限で実行する必要があります。このスクリプトは、攻撃者が悪用する可能性のある移行プロセスのコンポーネントを無効化することで、脆弱性の悪用を防ぐことを目的としています。
具体的には、この回避策スクリプトは、「/usr/lib/vmware-casa/migration/vmware-casa-migration-service.sh」というパスにあるファイルを削除し、さらに「vmware-casa-workflow.sh」がパスワードなしでrootとして実行されることを許可するsudoersエントリを削除します。これにより、サポート支援製品の移行プロセス中に悪用される可能性のある経路が遮断され、攻撃のリスクが軽減されます。
管理者は、利用可能なVMware Aria Operationsのセキュリティパッチを適用するか、それが困難な場合はこの回避策をできるだけ早く実装することが強く推奨されます。特に、この脆弱性が積極的に悪用されているというCISAの警告を考慮すると、いかなる遅延も許されません。組織のセキュリティ体制を強化し、潜在的な脅威からシステムを保護するための迅速な行動が不可欠です。
未解明の脅威:攻撃者の正体と今後の課題
現時点では、CVE-2026-22719を悪用している攻撃者の具体的な身元、その動機、そして攻撃の規模に関する詳細は公には明らかにされていません。CISAが悪用を確認しているにもかかわらず、これらの情報が不足していることは、防御側にとって大きな課題となります。攻撃者がどのような戦術、技術、手順(TTP)を用いているのかが不明であるため、効果的な脅威ハンティングや将来の攻撃予測が困難になります。
Broadcomが「潜在的な悪用に関する報告を認識しているが、その妥当性を独自に確認できない」と述べている一方で、CISAが「既知の悪用済み」と断定している状況は、情報共有のギャップや、異なる情報源からのインテリジェンスの解釈の違いを示唆している可能性もあります。しかし、ユーザー企業にとっては、CISAの警告が最も重視すべき情報であり、悪用が進行中であるという事実に基づいて行動する必要があります。
このような状況は、企業がゼロデイ脆弱性やNデイ脆弱性に対して、いかに迅速かつ効果的に対応できるかという、サイバーセキュリティにおける永遠の課題を浮き彫りにします。パッチがリリースされても、その適用が遅れることで、攻撃者に悪用の機会を与えてしまうことになります。特に、VMware製品のような広範に利用されるインフラストラクチャソフトウェアの脆弱性は、サプライチェーン全体に大きな影響を及ぼす可能性があります。
今後、この脆弱性を悪用した攻撃に関するさらなる技術的詳細や、関与している脅威アクターに関する情報が公開される可能性があります。企業は、最新の脅威インテリジェンスに常に注意を払い、自社のシステムが最新のセキュリティ対策で保護されていることを確認する必要があります。この事件は、継続的な監視と迅速な対応が、現代のサイバー脅威環境において不可欠であることを改めて示しています。
参考情報
本記事は以下の情報源を参考に作成されました:
- -CISA flags VMware Aria Operations RCE flaw as exploited in attacks - https://www.bleepingcomputer.com/news/security/cisa-flags-vmware-aria-operations-rce-flaw-as-exploited-in-attacks/
- -CISA Adds Actively Exploited VMware Aria Operations Flaw CVE-2026-22719 to KEV Catalog - https://thehackernews.com/2026/03/cisa-adds-actively-exploited-vmware.html