信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
MOVEit AutomationにCVSS 9.8の認証バイパス——CVE-2026-4670で未認証の管理者奪取が可能、即時パッチ必須
2026年5月4日、Progress SoftwareがMOVEit AutomationのCVSS 9.8認証バイパス(CVE-2026-4670)と特権昇格(CVE-2026-5174)を修正。影響バージョンと対処法を解説する。
一言結論
CVE-2026-4670(CVSS 9.8)はMOVEit AutomationのサービスバックエンドコマンドポートにおけるCriticalな認証バイパスで、未認証の攻撃者が管理者権限を取得しタスク内のクレデンシャルや機密ファイルにアクセスできる。CVE-2026-5174(CVSS 7.7)の特権昇格と組み合わせると被害が拡大する。対象バージョンは2025.1.4以下・2025.0.8以下・2024.1.7以下で、2025.1.5/2025.0.9/2024.1.8への即時アップグレードが必須だ。
何が起きたか
2026年5月4日、Progress SoftwareがMOVEit Automationに存在する2件の脆弱性を修正するセキュリティパッチをリリースした。
| CVE | CVSS | 種別 | 攻撃者要件 |
|---|---|---|---|
| CVE-2026-4670 | 9.8 Critical | 認証バイパス | 未認証・低複雑度 |
| CVE-2026-5174 | 7.7 High | 特権昇格 | 認証済み |
2件を組み合わせた場合、ネットワーク到達可能な未認証攻撃者がMOVEit Automationインスタンスの管理者制御を完全に奪取できる。
発見者はAirbus SecLabの研究者4名(Anaïs Gantet、Delphine Gourdou、Quentin Liddell、Matteo Ricordeau)。現時点で実際の悪用(野外での攻撃)は報告されていない。
MOVEit AutomationとはなにかCVEはなぜ深刻か
MOVEit AutomationはMFT(Managed File Transfer)ソリューションで、金融機関・ヘルスケア・行政機関など規制業種を中心に、業務システム間のファイル自動転送・スケジューリングを担う。MOVEit TransferのオーケストレーションエンジンとしてAPIキー・SSHキー・データベース接続文字列などのクレデンシャルをタスク内に保存するため、侵害時の影響範囲が広い。
2023年のMOVEit大規模侵害を忘れてはいけない
2023年6月、別の脆弱性(CVE-2023-34362: SQLインジェクション)を悪用したCl0pランサムウェアグループがMOVEit Transferを侵害し、米国政府機関・大学・金融機関など2,500以上の組織・6,800万人超の個人情報が流出した。MOVEit製品の脆弱性はAPT・ランサムウェア組織の優先ターゲットになっているため、本CVEへの対応を「通常のパッチ適用サイクル」と同列に扱ってはいけない。
脆弱性の技術詳細
CVE-2026-4670:認証バイパス
脆弱性の場所はサービスバックエンドコマンドポートインターフェースだ。このインターフェースは通常、MOVEit Automationサービス間の内部通信に使われるが、認証チェックに欠陥があり、ネットワーク到達可能な攻撃者がバイパスできる。
攻撃経路の概略:
1. 攻撃者がMOVEit Automationのバックエンドコマンドポートにアクセス
2. 認証を回避して管理者コンテキストを確立
3. タスクに保存されたクレデンシャル(APIキー/SSHキー/DB接続文字列)を読み取る
4. 機密ファイル(給与データ・財務レポート等)へアクセス
5. 企業ネットワーク内の横展開CVE-2026-5174:特権昇格
不適切な入力バリデーションにより、認証済みの低権限ユーザーが管理者権限に昇格できる。CVE-2026-4670で管理者セッションを確立した後、さらに悪用が続く場合に積み重なるリスクとなる。
影響を受けるバージョン
| ブランチ | 脆弱なバージョン | 修正バージョン |
|---|---|---|
| 2025.1.x | 2025.1.4 (17.1.4) 以下 | 2025.1.5 |
| 2025.0.x | 2025.0.8 (17.0.8) 以下 | 2025.0.9 |
| 2024.1.x | 2024.1.7 (16.1.7) 以下 | 2024.1.8 |
上記以外の旧バージョン(サポート終了済み)については、Progress Softwareはアップグレードを強く推奨している。
対処方法
1. 即時アップグレード(最優先)
# 現行バージョン確認(Windowsの場合)
# コントロールパネル > プログラムと機能 > MOVEit Automation
# Progress MySupport ポータルから修正バージョンを入手
# https://community.progress.com/s/moveitアップグレード前に必ずバックアップを取得すること。
2. ネットワーク分離(アップグレードできない場合の暫定措置)
バックエンドコマンドポートを信頼できるIPアドレスのみに制限する。具体的なポート番号はProgress Softwareのセキュリティアドバイザリを参照のこと。
3. 侵害インジケーターの確認
現時点で公開されているIoC(侵害の痕跡)はないが、以下を確認する。
確認項目:
- 管理者アカウントへの不審なログイン(ログ確認)
- タスク実行履歴の異常
- 予期しないファイル転送ジョブの追加
- ネットワーク外部への大量データ転送❌ 悪い例:パッチ適用を後回しにする
「MOVEitはインターネットに直接さらされていないから大丈夫」
→ VPN内でも横展開リスクがある
「次の定期メンテナンス窓口(2週間後)で対応する」
→ 公開から2週間以内に悪用が始まるケースが多い✅ 良い例:緊急パッチ適用
1. バックアップ → 2. ステージング環境でテスト →
3. 本番適用 → 4. バージョン確認 → 5. ログ監視強化まとめ
2023年のMOVEit侵害がいかに壊滅的だったかを振り返ると、本CVEへの対応速度が組織のセキュリティ成熟度を示す試金石となる。CVSS 9.8・未認証攻撃可能・エンタープライズデータへの直接アクセスというリスクプロファイルは、通常のパッチサイクルを待つ理由にならない。