BeyondTrust脆弱性CVE-2026-1731が示す時間との勝負PoC公開から数時間で攻撃開始──CVSS 9.9の大規模悪用が進行中

CVSS 9.9の脆弱性が大規模悪用中──PoC公開からわずか数時間で攻撃開始

BeyondTrust社のリモートアクセス製品に存在する認証前リモートコード実行（RCE）脆弱性CVE-2026-1731が、世界規模で悪用されています。深刻度を示すCVSSスコアは9.9と最高レベルに近く、Help Net Securityの報道によると、概念実証コード（PoC）の公開からわずか数時間で実際の攻撃が観測されました。この事態は、脆弱性対応における「時間との勝負」がかつてないほど厳しくなっていることを示しています。

脆弱性の詳細と攻撃のタイムライン

今回の脆弱性は、BeyondTrust Remote Support（RS）およびPrivileged Remote Access（PRA）に存在します。これらは企業のITサポートや特権アクセス管理に広く使われており、Fortune 100企業の75%が同社製品を利用しているとされています。

攻撃のタイムラインは驚くべき速さで進行しました。1月31日に脆弱性が発見され、2月2日にはSaaS版への自動パッチが適用されました。2月6日にアドバイザリが公開され、2月10日にセキュリティ企業Rapid7がPoCを公開したところ、同日中に最初の悪用が確認されています。そして2月13日には米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）がKEV（既知の悪用済み脆弱性）カタログに追加し、連邦機関に対して2月16日までの修正を義務付けました。

現時点で約8,500のオンプレミスインスタンスが影響を受けており、セキュリティ企業Arctic Wolfの調査では、攻撃者がSimpleHelp RMMツールを展開し、ネットワーク内での横方向への移動（ラテラルムーブメント）を行っていることが確認されています。

なぜこの脆弱性が特に危険なのか

リモートアクセスツールの脆弱性は、企業ネットワーク全体への侵入口となる点で極めて深刻です。認証を必要としない「認証前」の脆弱性であるため、攻撃者は正規の認証情報なしにシステムを乗っ取ることができます。

また、BeyondTrust製品は過去にも国家支援型の攻撃に悪用された前歴があります。2024年末に発見されたCVE-2024-12356は、中国の脅威アクターグループ「Silk Typhoon」が米国財務省への侵入に使用したことが報告されています。今回の脆弱性も同様に、高度な攻撃者に狙われるリスクが高いと考えられます。

さらに注目すべきは、今回の脆弱性がAI支援のバリアント分析ツール「Hacktron AI」によって発見された点です。AIを活用した脆弱性発見は防御側の強力な武器となる一方、攻撃者も同様の技術を使う時代が到来していることを意味します。

企業が今すぐ取るべき対策

この状況を踏まえ、企業は以下の対策を早急に実施する必要があります。

まず、自社環境でBeyondTrust RSまたはPRAを利用しているかどうかを即座に確認してください。IT資産管理台帳やネットワークスキャンを活用し、見落としがないようにすることが重要です。

次に、オンプレミス環境でパッチ未適用のシステムがある場合は、すでに侵害されている前提で調査を開始すべきです。ログの精査、不審なプロセスの有無、予期しないネットワーク通信の確認を行ってください。

また、リモートアクセスツール全般のセキュリティを再評価する好機でもあります。アクセス制御の見直し、多要素認証の導入状況、ネットワークセグメンテーションの適切性を確認しましょう。

インシデント対応計画の更新も重要です。PoCから攻撃までの時間が数時間という現実を踏まえ、脆弱性情報の監視体制と緊急パッチ適用のプロセスを見直す必要があります。

最後に、外部のセキュリティ専門家との連携を検討してください。24時間365日の監視体制や、インシデント発生時の迅速な対応支援は、自社リソースだけでは実現が難しい場合が多いためです。

まとめ

BeyondTrustの脆弱性CVE-2026-1731は、CVSS 9.9という深刻度に加え、PoC公開からわずか数時間で実際の攻撃に発展するという「パッチギャップの縮小」を象徴する事例となりました。リモートアクセスツールを利用する企業は、自社環境の点検と対策を今すぐ開始する必要があります。

セキュリティ対策の強化やインシデント対応体制の構築にお悩みの方は、180社以上の支援実績を持つGXOにご相談ください。SIEM/SOAR導入からSOC運用、緊急時のインシデント対応まで、一気通貫でサポートいたします。

お問い合わせはこちら