VMware Aria Operations脆弱性（CVE-2026-22719）｜CISA KEV登録の緊急対応ガイド

CISA（米サイバーセキュリティ・インフラセキュリティ庁）が「悪用が確認済み」として KEV カタログに追加した脆弱性は、パッチ適用の猶予がない。 VMware Aria Operations に存在する CVE-2026-22719 は、認証なしでリモートコード実行（RCE）が可能な深刻度の高い脆弱性だ。CVSS スコアは9.8（Critical）で、すでに実際の攻撃での悪用が確認されている。

VMware（現 Broadcom）製品を仮想基盤として利用する中小企業は多い。本記事では、この脆弱性の影響範囲、パッチ適用の手順、パッチ適用が即座にできない場合の緩和策を解説する。

---

CVE-2026-22719の概要

項目	内容
CVE番号	CVE-2026-22719
対象製品	VMware Aria Operations（旧 vRealize Operations）
影響バージョン	8.x（8.18.1以前）、Cloud版（2026年3月パッチ以前）
CVSS v3.1	9.8（Critical）
攻撃経路	ネットワーク経由、認証不要
悪用状況	CISA KEV登録済み（実際の攻撃で悪用確認）
パッチ公開日	2026年3月（Broadcom セキュリティアドバイザリ VMSA-2026-0005）
CISA要求期限	連邦機関は公開後21日以内の適用を義務付け

脆弱性の技術的詳細

この脆弱性は、Aria Operations の REST API エンドポイントにおける入力検証の不備に起因する。攻撃者は細工した HTTP リクエストを送信することで、認証をバイパスし、Aria Operations サーバー上で任意のコマンドを実行できる。

攻撃が成功した場合の影響は以下の通りだ。

• 管理者権限での任意コード実行：仮想基盤全体の制御権を奪取される
• vCenter連携経由の横展開：Aria Operations が vCenter と連携している場合、仮想マシン群への攻撃の足がかりとなる
• 監視データの改ざん・窃取：パフォーマンスデータや構成情報が漏洩する

---

影響を受ける環境の確認方法

ステップ1：バージョン確認

Aria Operations の管理コンソールにログインし、管理 > サポート > バージョン情報からビルド番号を確認する。CLI から確認する場合は以下のコマンドを使う。

ステップ2：ネットワーク露出の確認

Aria Operations の管理ポート（デフォルト443）がインターネットや広範な社内ネットワークに公開されていないか確認する。ファイアウォールの ACL を確認し、管理用ポートへのアクセスを運用担当者の IP に限定する。

ステップ3：連携サービスの確認

Aria Operations が vCenter、vSAN、NSX と連携している場合、攻撃の影響範囲が拡大する可能性がある。連携先サービスのバージョンとパッチ状況もあわせて確認する。

---

パッチ適用の手順

オンプレミス版（Aria Operations 8.x）

1. Broadcom Support Portal から最新パッチ（8.18.2以降）をダウンロード
2. Aria Operations クラスタのスナップショットを取得（ロールバック用）
3. 管理ノードからパッチをアップロードし、クラスタ全体に適用
4. 適用後、全ノードのサービスが正常に起動していることを確認
5. REST API エンドポイントの動作テストを実施

Cloud版

Broadcom が2026年3月のメンテナンスウィンドウで自動適用。管理コンソールで適用済みであることを確認する。

---

パッチ適用が即座にできない場合の緩和策

パッチ適用に時間がかかる場合は、以下の緩和策を優先的に実施する。

緩和策	効果	実施の容易さ
REST API ポートへのアクセスをIP制限	外部からの攻撃を遮断	高（ファイアウォール設定のみ）
WAF で該当エンドポイントをブロック	既知の攻撃パターンを遮断	中（WAFルールの追加）
Aria Operations の一時停止	完全な攻撃面の排除	高（ただし監視機能が停止）
ネットワークセグメンテーション強化	横展開リスクの低減	中（VLAN/FW設定の変更）

注意：緩和策はあくまでパッチ適用までの一時的な措置であり、根本対策ではない。

---

侵害の痕跡（IoC）の確認

すでに攻撃を受けていないか確認するため、以下のログを調査する。

• Aria Operations のアクセスログ：REST API への不審なリクエスト（特に認証ヘッダーのない POST リクエスト）
• OS レベルのプロセスログ：Aria Operations のサービスアカウントから起動された不審なプロセス
• ネットワークログ：Aria Operations サーバーから外部への不審なアウトバウンド通信

---

今後の VMware 脆弱性への備え

Broadcom による VMware 買収後、ライセンス体系の変更と同時にセキュリティアップデートの提供体制も変化している。今後に備えて以下を整備しておくべきだ。

1. Broadcom Support Portal のアカウント整備：パッチ入手にアカウントが必須
2. VMware製品のインベントリ管理：どの製品のどのバージョンを使っているか一覧化する
3. CISA KEV の定期購読：RSS または Eメール通知を設定し、新規登録を即座に把握する
4. パッチ適用のSLA策定：Critical は72時間以内、High は1週間以内など基準を明文化する

---

まとめ

CVE-2026-22719 は「認証不要・リモート実行可能・実際の悪用あり」という三拍子が揃った緊急度の高い脆弱性だ。VMware Aria Operations を利用している企業は、バージョン確認とパッチ適用を最優先で実施してほしい。パッチ適用が即座にできない場合でも、API ポートのアクセス制限だけは今日中に実行すべきだ。

---

GXO実務追記: サイバーセキュリティで発注前に確認すべきこと

この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。

まず決めるべき3つの論点

論点	確認する内容	未整理のまま進めた場合のリスク
目的	売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか	成果指標が曖昧になり、PoCや開発が終わっても投資判断できない
範囲	対象部署、対象業務、対象データ、対象システムをどこまで含めるか	見積もりが膨らむ、または重要な連携が後から漏れる
体制	自社責任者、現場担当、ベンダー、保守運用者をどう置くか	要件確認が遅れ、納期遅延や品質低下につながる

費用・期間・体制の目安

フェーズ	期間目安	主な成果物	GXOが見るポイント
事前診断	1〜2週間	課題整理、現行確認、投資判断メモ	目的と範囲が商談前に整理されているか
要件定義 / 設計	3〜6週間	要件一覧、RFP、概算見積、ロードマップ	見積比較できる粒度になっているか
PoC / MVP	1〜3ヶ月	検証環境、効果測定、リスク評価	本番化判断に必要な数値が取れるか
本番導入	3〜6ヶ月	本番環境、運用設計、教育、改善計画	導入後の運用責任と改善サイクルがあるか

発注前チェックリスト

• [ ] 重要システムと個人情報の所在を棚卸ししたか
• [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
• [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
• [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
• [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
• [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか

参考にすべき一次情報・公的情報

• IPA 情報セキュリティ
• JPCERT/CC
• NISC
• OWASP Top 10
• NIST Cybersecurity Framework

上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。

GXOに相談するタイミング

次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。

• 見積もり依頼前に、要件やRFPの粒度を整えたい
• 既存ベンダーの提案が妥当か第三者視点で確認したい
• 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
• 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
• PoCや診断で終わらせず、本番導入と運用改善まで進めたい

関連記事

• サイバーセキュリティ完全ガイド（中小企業向け）
• 脆弱性診断とペネトレーションテストの進め方
• CSIRT構築ガイド（中小企業向け）
• EDRの選び方と比較ガイド

---