CISAがKEVに追加：HPE OneViewの認証不要RCEと古いMicrosoft Office脆弱性が“いま悪用中”です

今日の深掘りポイント

• CISAが「既知の悪用脆弱性（KEV）」にHPE OneViewの重大RCEと古いMicrosoft Officeの脆弱性を同時登録し、実害発生を前提とした対応を期限付きで迫っています。これは「観測ベースの緊急警報」そのものです。
• HPE OneViewはサーバーやiLO、ネットワークを横断的に制御する“管理プレーン”製品で、ここでのRCEはデータセンター全体の構成変更や電源操作まで連鎖し得るため、影響半径が桁違いに大きいです。
• 古いPowerPointの脆弱性は“長尾”資産（EOLソフト、訓練端末、ラボ、VDIゴールデンイメージなど）に潜み続け、メール添付を介した初期侵入の再燃を示唆します。
• 既に悪用が観測されており、実装可能な対処が明確です。露出遮断とパッチ適用、そしてOneViewを「Tier 0資産」とみなした監視・分離に今すぐ舵を切るべきタイミングです。

はじめに

「KEVに入ったら即日優先度を繰り上げる」──このルールを運用に落とし込めている組織は、今日も被害の確率を下げています。CISAがHPE OneViewのリモートコード実行と、Microsoft Office PowerPointの古いメモリ破損を“いま悪用中”と断じました。前者は管理プレーン直撃、後者はメール経由の古典的侵入という、セキュリティ運用の両極を同時に突く内容です。現場はどこから手を付けるべきか。事実を押さえ、攻撃者の視点でリスクを並べ替えたうえで、実務に効く優先順位を提案します。

深掘り詳細

事実：KEV登録とベンダー情報の確認

• CISAはKEVカタログに、以下2件を追加し、連邦機関に対して期限付きの是正を求めています。KEV入りは「野生での悪用が確認済み」を意味し、観測ベースの優先度信号です。
  • CVE-2025-37164（HPE OneView、リモートの認証不要RCE）です。CISA KEVカタログに掲載されています。CVEレコードはこちらです。
  • CVE-2009-0556（Microsoft Office PowerPoint、メモリ破損によるRCE）です。同様にKEV掲載対象で、CVEレコードはこちらです。
• HPEは該当するOneView向けに修正を案内しています（HPE PSIRTのセキュリティブリテン一覧はこちらの検索ページから確認できます）。影響範囲や修正バージョンは自社導入版に照らして必ず一次情報で確認すべきです。
• 報道では、CVE-2025-37164の概念実証（PoC）が公開されているとされています。攻撃の敷居が下がるため、露出している環境は緊急遮断の価値があります。The Hacker Newsの報道が参考になります。

注記：CISAはKEVに対し是正期限を設定する運用で、今回も短いリードタイムが設定されています。連邦機関向け期限は方針のベンチマークとして、民間企業でも緊急度判断に活用できます（期限は上記KEVカタログ上で各CVEごとに確認できます）。

インサイト：なぜこの二件が今、経営リスクになるのか

• 管理プレーンの「単一点障害」化です。HPE OneViewはサーバー（iLO）、ネットワーク、コンポーザブルインフラを束ねる司令塔です。ここでのRCEは、OSより下のレイヤ（BMC/ファームウェア）や仮想基盤のパワーコントロール、テンプレート配布に波及し、横方向の制圧が極めて容易になります。影響半径が大きい資産ほど、脆弱性一件の“期待損失”は跳ね上がります。
• KEV入りは「実際に刺さっている環境がある」ことのシグナルです。特にPoCが出回る局面では、既存の犯罪インフラに組み込む“模倣波”が短期間で発生しがちです。露出の有無でリスクの性質が激変するため、ネットワーク上の位置（インターネット直露、社内広域到達、バスティオン越しのみ）で優先度を細かく再配分する価値があります。
• 古いOffice脆弱性は「レガシー温存」の裏返しです。EOLソフトが教育端末や検証ラボ、孤立した工場端末、VDIイメージに残存し、パッチガバナンスの可視外に落ちやすいです。メール添付やファイル共有からの侵入は依然として最も成功率の高い初期アクセス手口のひとつで、攻撃者は“古いが効く”武器を丁寧に再利用します。
• 現場目線では、今回の二件は「環境の両端を守る」ことを迫ります。すなわち、管理プレーンの最小露出と強化、そして長尾資産の棚卸し・隔離・段階的削除です。どちらも“すぐできる遮断”と“すぐには難しい構造改革”が混在するため、短期・中期の二層プランで動くのが現実的です。

脅威シナリオと影響

以下は仮説に基づく想定シナリオで、MITRE ATT&CKの戦術・技術に沿って整理します。

• シナリオA：インターネット露出したOneViewへの無認証RCEで管理プレーンを掌握

  • 初期アクセス: T1190（公開アプリケーションの脆弱性悪用）です。
  • 実行: T1059（コマンド/スクリプト実行）あるいはT1203（クライアント実行のための脆弱性悪用）です。
  • 権限昇格/横展開: T1078（正規アカウントの悪用）、T1021（リモートサービス）でiLOやハイパーバイザへ展開します。
  • 指揮統制/持続化: T1105（Ingress Tool Transfer）、T1098（アカウント追加）です。
  • 影響: T1486（暗号化）、T1490（復旧妨害）、さらにはBMCレベルでの電源操作やISOマウントを悪用したブートレベル攻撃が現実味を帯びます。
  • 業務影響: 物理サーバー群の同時停止、仮想基盤のテンプレート改ざん、バックアップの無効化により復旧時間が桁増しになります。データセンターとOT連携がある場合は生産停止まで波及し得ます。

• シナリオB：古いPowerPoint添付を用いたフィッシングでの初期侵入

  • 初期アクセス: T1566.001（添付ファイルによるフィッシング）、T1204（ユーザー実行）です。
  • 実行: T1203（クライアント実行のための脆弱性悪用）です。
  • 発見回避/横展開: T1055（プロセスインジェクション）、T1021（リモートサービス）、T1555（資格情報の取得）です。
  • 影響: T1486（暗号化）や情報窃取に発展します。
  • 業務影響: エンドポイント数台の侵害から、ドメイン全体への拡大まで振れ幅があります。訓練用・検証用に残るEOL Officeが踏み台となると、可視化が遅れて対応が後手に回りがちです。

• シナリオC：社内からOneViewへ到達可能な開発者端末がマルウェア化し、PoCを転用

  • 既存の社内侵害後に、T1046（ネットワークサービス探索）→T1190（OneViewの脆弱性悪用）でTier 0へ“二段ジャンプ”します。
  • 管理プレーンを抑えられると、EDRの目が届きにくい帯域（BMC/管理ネットワーク）での活動が増え、検知困難性が上がります。

いずれのシナリオでも、OneViewは「ドメインコントローラ級の重要資産」と同等以上の扱いが妥当です。ここを起点にされると、通常の横展開阻止設計が迂回されやすいからです。

セキュリティ担当者のアクション

短期の遮断と中期の構造是正を同時に走らせるのが最速の安全策です。

• 露出の即時遮断（本日中）

  • OneViewへのインターネット到達をゼロにします。外部からの直アクセスをFWで遮断し、到達はバスティオン＋MFAのみに限定します。
  • 社内広域からの到達も最小化し、運用端末のみにACLで絞り込みます。管理ネットワークをユーザLANから完全分離します。
  • メール/ゲートウェイで旧形式のPowerPoint（.ppt）外部受信を一時的に強化審査し、必要に応じてブロックまたはサンドボックス実行を強制します。

• パッチ適用とバージョン統制（48〜72時間）

  • HPE OneViewをベンダーの修正済みリリースへ更新します。対象範囲、前提パッチ、再起動影響はHPEのブリテンで一次確認します（HPE PSIRT一覧を参照します）。
  • 旧Office残存の棚卸しを行い、EOL版や互換機能パックのアンインストール、Protected View強制、攻撃面となるプラグインの無効化を進めます。短期は隔離・プロキシ制限でも効果があります。

• 検知とハンティング（今週中）

  • OneView側
    • 直近数週間の管理者アカウント追加・権限変更・APIトークン発行の監査ログを精査します。
    • OneViewアプライアンスからの異常な外向き接続（インターネットや未知の内部宛て）をネットワークフローで確認します。
    • 大量一括の電源操作やプロファイル適用、テンプレート改変などの運用イベントの急増を確認します。
  • エンドポイント側
    • PowerPnt.exeからのコマンドシェル起動、スクリプトエンジン起動などの親子プロセス異常をEDRで検出します。
    • メールゲートウェイで古いPPT添付の到来、サンドボックスでのクラッシュや不審挙動をレビューします。

• 恒久対策（今四半期内）

  • OneViewを「Tier 0」分類に格上げし、ADやPKIと同列のアクセス・監査・バックアップ要件を適用します。運用バスティオン経由のMFA強制、管理者の端末分離、通年の脆弱性スキャン（認証付き）を標準にします。
  • 管理ネットワークの東西・南北分離を強め、BMC帯域はプロキシ化・記録化します。Out-of-bandはインターネット閉域＋ブレークグラスのみに限定します。
  • KEV準拠のパッチSLAを制度化し、KEV入り時は“即遮断＋期限内修正”を自動発火できるチェンジ管理を設計します。長尾資産の廃止計画（VDIゴールデンイメージ更新、訓練端末の刷新）をロードマップ化します。

• インシデント対応の備え

  • OneView侵害の兆候があれば、ドメイン全体・BMC帯域の侵害を前提にトリアージします。証跡保全、影響評価、ベンダー・重要顧客へのコミュニケーション手順を事前に整備します。復旧優先順位に「管理プレーン再構築」を明示します。

最後に、今回のシグナルは「緊急度が高く、実際に動かせる施策が明確で、攻撃の現実性が高い」タイプのものです。好機なのは、KEVという外部の客観指標を使って、運用の優先順位やチェンジフリーズを社内説得しやすい点です。現場の判断を後押しする根拠として、一次情報に当たりながら、遮断・更新・監視の三点セットを今日から回し始めるのが最善です。

参考情報

• CISA Known Exploited Vulnerabilities Catalog（KEV）: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• CVE-2025-37164（HPE OneView）: https://www.cve.org/CVERecord?id=CVE-2025-37164
• CVE-2009-0556（Microsoft Office PowerPoint）: https://www.cve.org/CVERecord?id=CVE-2009-0556
• HPE PSIRT セキュリティブリテン一覧: https://support.hpe.com/hpesc/public/km/search?category=securitybulletin
• 報道（PoC公開の言及を含む）: https://thehackernews.com/2026/01/cisa-flags-microsoft-office-and-hpe.html

本稿では、推測が含まれる部分は仮説であることを明示しました。運用判断は必ずベンダーの一次情報とCISAのKEV掲載内容を参照し、自社環境の資産構成・露出状況に即して最終決定することを強くおすすめします。