サイバーセキュリティ📖 1分で読了

CVSS10.0脆弱性が10ヶ月後に悪用開始、IT管理ツールの盲点Quest KACE SMAの認証バイパス、教育機関が標的に

CVSS10.0脆弱性が10ヶ月後に悪用開始、IT管理ツールの盲点

Quest KACE SMAの認証バイパス脆弱性CVE-2025-32975が野生で悪用開始。CVSS 10.0の深刻度にもかかわらず10ヶ月間パッチ未適用のシステムが標的に。企業が今すぐ確認すべき対策を解説。

💡 今すぐ相談したい方へ|30分の無料相談で現状整理をお手伝いします

相談してみる

CVSS 10.0の脆弱性、パッチ提供から10ヶ月後に悪用が確認される

IT資産管理ツール「Quest KACE SMA」の認証バイパス脆弱性が、野生環境で悪用されていることが確認されました。深刻度を示すCVSSスコアは最高値の10.0。2025年5月にパッチが提供されていたにもかかわらず、適用されていないシステムが攻撃者の標的となっています。この脆弱性を悪用されると、管理者アカウントが完全に掌握され、管理下にあるすべてのデバイスが危険にさらされます。

セキュリティ企業Arctic Wolfが2026年3月24日に発表した報告によると、CVE-2025-32975の悪用は3月9日の週から観測されています。攻撃者は認証をバイパスして管理者権限を奪取した後、リモートコマンド実行によりBase64エンコードされたペイロードを投下。さらにMimikatzを使用した認証情報の窃取や、RDPアクセスの確立も確認されています。

なぜIT資産管理ツールの侵害が深刻なのか

Quest KACE SMAは、企業や組織がIT資産を一元管理するためのアプライアンス製品です。ソフトウェアの配布、パッチ管理、インベントリ管理など、IT運用の中核を担うツールとして多くの組織で利用されています。

このツールが侵害されることの危険性は、単一のサーバーが攻撃されるケースとは比較になりません。管理者権限を奪取した攻撃者は、KACE SMAが管理するすべてのエンドポイントに対してソフトウェアを配布したり、コマンドを実行したりする権限を手に入れることになります。つまり、1台の管理サーバーの侵害が、数百台から数千台のデバイスへの侵害に直結する可能性があるのです。

今回の攻撃では、教育セクターが標的となっている可能性が指摘されています。教育機関はIT管理のリソースが限られていることが多く、パッチ適用が遅れがちな傾向があります。攻撃者はこうした「パッチ適用の遅い組織」を意図的に狙っていると考えられます。

パッチ提供から10ヶ月、繰り返される「時限爆弾」問題

ここまで読んで
「うちも同じだ」と思った方へ

課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

今回の事例で注目すべきは、パッチが提供されてから10ヶ月も経過した後に悪用が始まったという点です。これは2026年1月にパッチが提供されたSharePointの脆弱性CVE-2026-20963が、わずか2ヶ月後の3月に悪用されたケースと同様の構図です。

多くの組織では、「パッチが出たらすぐに適用する」という理想的な運用ができていません。業務への影響を懸念したり、検証環境でのテストに時間がかかったり、そもそも脆弱性情報を把握できていなかったりと、理由はさまざまです。しかし攻撃者は、パッチ情報が公開されることで脆弱性の詳細を知り、悪用コードを開発します。パッチを適用していないシステムは、いわば「時限爆弾」を抱えた状態といえます。

特にインターネットに露出しているシステムは、攻撃者から容易に発見されてしまいます。今回のケースでも、インターネットに公開されたままパッチ未適用のKACE SMAインスタンスが標的となりました。

御社が今すぐ確認すべき4つの対策

この脆弱性への対応として、以下の4つのアクションを速やかに実施することを推奨します。

まず、自社でQuest KACE SMAを利用しているかどうかを確認してください。IT資産台帳や契約情報を確認し、利用がある場合は次のステップに進みます。利用がない場合でも、類似のIT管理ツールのパッチ状況を確認する良い機会です。

次に、利用している場合はパッチ適用状況を確認します。2025年5月以降のパッチが適用されているかどうかを確認し、未適用であれば最優先で適用作業を計画してください。

3つ目として、インターネットへの露出状況を確認します。KACE SMAがインターネットから直接アクセス可能な状態になっている場合は、即座にアクセスを遮断するか、VPN経由のみのアクセスに制限してください。

最後に、すでに侵害を受けている可能性を考慮し、管理者アカウントのパスワードをローテーションするとともに、不審なログイン履歴やコマンド実行の痕跡がないか確認してください。Mimikatzの実行痕跡やBase64エンコードされたコマンドの実行ログは、侵害の兆候として特に注意が必要です。

まとめ

CVSS 10.0という最高深刻度の脆弱性が、パッチ提供から10ヶ月後に悪用されている事実は、多くの企業にとって他人事ではありません。IT資産管理ツールの侵害は組織全体への被害拡大につながるため、早急な対応が求められます。自社のパッチ管理体制やインターネット露出状況を見直す機会としてください。

脆弱性管理やセキュリティ体制の強化についてお悩みの場合は、180社以上の支援実績を持つGXOにご相談ください。SIEM/SOARの導入からインシデント対応まで、御社のセキュリティ課題を伴走型で支援いたします。

お問い合わせはこちら

「やりたいこと」はあるのに、
進め方がわからない?

DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。

無料で相談してみる

営業電話なし オンライン対応可 相談だけでもOK

こちらの記事もおすすめ

同じカテゴリAndroidにバックドア混入──日本も被害上位国に

Androidにバックドア混入──日本も被害上位国に

2026年2月21日 · 1分で読了

同じカテゴリChromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

Chromeゼロデイ脆弱性が実環境で悪用、企業がすべき対策

2026年2月18日 · 1分で読了

同じカテゴリ【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

【Web担当者は今すぐ確認!】React2Shell脆弱性(CVE-2025-55182)とは?影響範囲と対応手順を解説

2025年12月10日 · 2分で読了