DELMIA AprisoとXWikiに対するアクティブ悪用が確認——製造MESとナレッジ基盤の同時多発リスクをどう制御するか

今日の深掘りポイント

• CISAとVulnCheckが、Dassault SystèmesのDELMIA Apriso（MES）とXWikiに関する脆弱性のアクティブ悪用を確認し、早期の更新適用を促しています。特にCVE-2025-6204/6205（Apriso）とCVE-2025-24893（XWiki）が悪用されていますと報じられています。
• XWikiではゲスト権限からRCEに至る欠陥が二段階攻撃で暗号通貨マイナー投下に使われており、被害が見えづらい「リソース搾取型」から横展開まで発展し得る点が要注意です。
• MES（Apriso）の脆弱性は製造実行の中枢に直結し、生産停止・品質逸脱・安全性低下のリスクが現実化します。外部向けWiki（XWiki）と内部MESの同時悪用は、IT→OT横断の侵入経路としてサプライチェーン全体に影響しやすい組み合わせです。
• メトリクスの読み解き（本紙指標）:
  • immediacy: 9.00（緊急度が極めて高く、当週内の暫定措置とパッチ計画が必要です）
  • actionability: 9.00（ベンダー更新・設定緩和・露出縮小・検知強化の具体策が取れます）
  • probability: 9.00/credibility: 9.00（アクティブ悪用＋公的機関関与のため再現性・拡大可能性が高いです）
  • magnitude: 8.00（製造停止や横展開を伴う場合、経営インパクトが大きい想定です）
  • novelty: 6.50（技術的新規性は中程度だが、MES直撃＋二段階マイニングの実運用悪用は運用上の新規性が高いです）
  • 総合score: 57.50/scale: 5.00（緊急対応優先度の上位に位置づけるべき案件です）

はじめに

製造業のMESと企業Wikiという一見異なる2領域で、同時期にアクティブ悪用が確認されたことは偶然ではない可能性があります。XWiki側の外部露出面で初期侵入を済ませ、Apriso側の業務中核に侵入・横展開するシナリオは、攻撃者のコストに対してリターンが大きいからです。暗号通貨マイナー投下だけで済んでいる環境でも、攻撃者が「静かに資金化を続ける」か「次の段階で恐喝・破壊に転じる」かは運用・監視・権限設計によって分かれます。国内製造業にとっては、IT/OT境界の現実的防御力と、公開Wiki／MESの露出管理を同時に見直す好機です。

深掘り詳細

事実関係（確認できていること）

• 報道ベースで、以下のCVEがアクティブ悪用されていますとされています。
  • DELMIA Apriso: CVE-2025-6204（コードインジェクション）、CVE-2025-6205（認可欠如による特権取得）——2020〜2025年リリースが影響するとの指摘があります。CISAが修正の期限を示して注意喚起していると報じられています（BOD 22-01運用上、KEV追加時は期日が設定されるのが通例です）と報じられています。
  • XWiki: CVE-2025-24893（動的評価の不適切な中和）により、ゲスト権限でもRCEが可能で、二段階攻撃で暗号通貨マイナーが配布されているとされています。
• CISAとVulnCheckがアクティブ悪用を確認しているという報道が出ており、速報としては信頼度が高い部類に入ります（credibility: 9.00の文脈と整合的です）と評価されます。
• 参考:
  • 報道: The Hacker News: Active Exploits Hit Dassault and XWiki
  • CISAのKEVカタログ（一般参照用、期日設定や該当CVEの有無は都度確認が必要です）: Known Exploited Vulnerabilities Catalog
  • XWikiのセキュリティ情報ページ（ベンダーアドバイザリ参照先）: XWiki Security
  • MITRE ATT&CK（TTPマッピング参照）: ATT&CK Enterprise

注: 上記CVEの詳細なCVSSやパッチ番号などの一次情報は本稿執筆時点で本紙側では未検証のため、リンク先の一次情報で必ず確認してください。期限やKEV掲載の有無も最新のCISAページでの確認が必要です。

インサイト（現場運用への解釈）

• 二段階マイナー投下は「すでに侵入検証済み」の合図になりやすいです。最初に目立たない金銭化（T1496 Resource Hijacking）を実装し、環境・権限の把握を進めるのが近年の傾向です。検知をリソース監視に依存している組織は、気づかないまま横展開（T1021、T1046）やクレデンシャル窃取（T1003/T1552）を許容しやすいです。
• MES直撃のAprisoは「止められないシステム」になりがちで、パッチ適用の意思決定が遅れやすいです。このためCISAが期限を切るインセンティブが働きます（immediacy 9.00）。現実的には、夜間メンテや段階ロールアウト、仮想パッチ（WAF/IPS）を組み合わせてダウンタイムとリスクの最小化を図る計画が必要です（actionability 9.00）。
• novelty 6.50は、技術的には既視感のあるRCE/認可欠如の組み合わせながら、製造MESと公開Wikiの「組み合わせ悪用」が運用上の新しさを帯びていることを示唆します。サプライチェーンで一般的なWiki→MESのナレッジ連動やSAML/LDAP連携が、権限昇格の足がかりになるケースを想定した点検が求められます。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説ベースのシナリオです。自組織のアーキテクチャに当てはめ、該当する防御・検知の穴を洗い出してください。

• シナリオA：外部公開XWikiからの初期侵入→IT横展開→マイナー投下

  • 初期アクセス: T1190 Exploit Public-Facing Application（CVE-2025-24893を悪用、ゲスト権限でRCE）
  • 実行: T1059 Command and Scripting Interpreter（OSコマンド、curl/wget、PowerShell/Bash）
  • 永続化: T1053 Scheduled Task/Cron、T1505 Server-side Component（Webアプリ拡張）
  • C2/ペイロード取得: T1105 Ingress Tool Transfer
  • 発見回避: T1027 Obfuscated/Compressed Files
  • 横展開: T1021 Remote Services（SSH/RDP/WinRM）、T1046 Network Service Discovery
  • 資格情報: T1552 Unsecured Credentials、T1003 OS Credential Dumping
  • 影響: T1496 Resource Hijacking（暗号通貨マイニング）、後続のデータ持ち出しや恐喝に発展する可能性

• シナリオB：Apriso（MES）への直接悪用→生産系影響

  • 初期アクセス: T1190（CVE-2025-6204/6205経由）
  • 権限昇格: T1068 Exploitation for Privilege Escalation（認可欠如の悪用）
  • 実行/永続化: T1059、T1053
  • 影響: T1485 Data Destruction、T1490 Inhibit System Recovery、工程停止・計画の撹乱、品質逸脱の恒常化
  • リスクの広がり: MESがERP/PLM（例：3DEXPERIENCE、SAP）と連動する場合、計画データや品質トレーサビリティの改ざんが生じ、サプライチェーン全体でリコール・納期遅延が連鎖する可能性

• シナリオC：XWiki→ID基盤→Apriso連携横展開

  • 推測ですが、XWikiがSSO/LDAPと連携し、高権限トークンを奪取できた場合、MES/ERPへシングルサインオン連携経由での横展開が成立します。最短経路で「権限ベースの正規アクセス」に偽装され、EDR/IDSの検知が低減する懸念があります。

業務影響（推定）:

• 直接コスト: 生産停止、残業・復旧費、追加検査費、クラウド/オンプレCPUコスト高騰（マイニング）
• 間接コスト: 顧客納期の遅延ペナルティ、品質信用の失墜、監督官庁・取引先への報告対応

セキュリティ担当者のアクション

優先順位付きで、現実的な運用を前提に整理します。アクションは「24時間以内の暫定措置」「1週間以内の恒久対策」「今四半期内の構造対策」に分けて計画すると管理しやすいです。

• 24時間以内（暫定措置）

  • 露出縮小:
    • XWikiの外部公開面を即時点検し、不要な匿名アクセス・ページ作成・スクリプト実行を無効化します（ゲストの権限見直し、プラグインの停止含む）。
    • Aprisoをインターネットから直接到達できる構成にしている場合は即座に閉じ、リバースプロキシ/WAF配下に置きます。
  • 仮想パッチ/シグネチャ適用:
    • WAF/IPSで該当CVEの既知パターン（評価式注入、権限昇格に関わるエンドポイント）をブロックするルールを有効化します。
  • 監視強化（IoA中心の検知）:
    • XWikiホストでの高CPU・不審プロセス生成（xmrig等の一般名を含む、ただし名称依存しすぎない）と、外向き通信先（暗号通貨プールの一般的ポート: 3333/4444/5555など）を相関監視します。
    • Windows/IIS上のAprisoで、w3wp.exe等のアプリワーカからcmd.exe/powershell.exeがスポーンされるプロセス連鎖（Event ID 4688）を高優先度アラート化します。
    • XWikiログでゲスト（XWikiGuest）の不自然なページ編集・「Programming Rights」付与・スクリプト評価が発生していないかを確認します。
  • インシデント準備:
    • 最悪ケースに備え、MESのロールバック手順とバックアップの整合性検証を直ちに実施します（復旧不能を避けるための現状確認です）。

• 1週間以内（恒久対策）

  • パッチ適用:
    • ベンダーの最新アドバイザリに基づき、DELMIA AprisoとXWikiの更新を計画的に実施します。CISAが期日（例：報道では11月18日）を示している場合、これをSLAに組み込みます。期日はCISA KEVで必ず一次確認します。
  • 権限・設定の堅牢化:
    • XWikiのスクリプト/プログラミング権限を最小化し、匿名ユーザーの作成・添付・スクリプト実行を禁止します。
    • Aprisoのサービスアカウントは最小権限・ローカル権限に限定し、ドメイン管理者権限の付与を排除します。
  • セグメンテーション/ゼロトラスト化:
    • XWiki（ITゾーン）とMES（境界/OT接続ゾーン）の間に明示的ポリシーを設定し、必要最小のAPI/DB/ファイル連携のみに限定します。
    • 管理アクセス（RDP/SSH/WinRM）はジャンプホスト経由＋MFA強制＋記録を義務化します。
  • ログの正規化とハンティング:
    • Sigma等に基づき、Webアプリプロセスからのシェル起動、cron/Task Schedulerへの新規登録、Java/Tomcat配下の不審JAR展開検知ルールを整備します。

• 今四半期以内（構造対策）

  • パッチ適用の運用改善:
    • MES/OT寄りシステムに対する「緊急パッチ時の停止判断フレームワーク」を整備し、事前にリハーサルを実施します（停止の代替策・段階ロールアウト・戻し基準の定義）。
  • 表面積管理:
    • 外部公開資産の継続的ディスカバリ（Attack Surface Management）にXWiki/Apriso関連の識別子を組み込み、シャドーITも含めた露出監視を定常化します。
  • アイデンティティ連携のリスク低減:
    • XWiki/AprisoのSSO/LDAP連携における高権限グループの委譲を棚卸しし、リスクベース条件付きアクセスを適用します。
  • サプライヤ連携:
    • インテグレータやホスティング事業者に対し、該当CVEの対処状況の「書面証跡」を要求し、SLA/契約にパッチ遵守条項を明文化します。

メトリクスの示唆（再掲）:

• immediacy 9.00とactionability 9.00の組み合わせは、「本日中の暫定措置＋1週間の恒久是正」を経営レベルで承認すべきサインです。Change凍結期間でも例外プロセスの発動が妥当です。
• probability 9.00は、攻撃の横展開と模倣が発生しやすいことを意味し、IOC依存ではなくIoA中心の検知へ寄せるべきです。
• magnitude 8.00は、単なるマイニング被害に留めず、MES停止時の時間当たり損失（スループット、スクラップ、遅延ペナルティ）を数値化し、パッチ・停止判断の根拠にすることを推奨します。

参考情報

• 報道（速報の全体像）: The Hacker News: Active Exploits Hit Dassault and XWiki
• 一次確認（期日・対象CVEの検証）: CISA Known Exploited Vulnerabilities Catalog
• ベンダー情報（XWikiセキュリティ）: XWiki Security
• TTP参照: MITRE ATT&CK Enterprise Matrix

注記

• 本稿は上記の公開情報に依拠し、未公表/未検証のテクニカル詳細は推測を明示して記載しています。実運用の判断は、必ず一次情報（CISA KEV、ベンダーアドバイザリ）で確認のうえ実施してください。