CISAがSolarWinds・Ivanti・Workspace ONEの既知悪用を告示——管理プレーン直撃の3件は“止血優先”です

今日の深掘りポイント

• CISAがKEV（Known Exploited Vulnerabilities）にSolarWinds、Ivanti、Omnissa（旧VMware）Workspace ONE UEMの脆弱性を追加。いずれも管理プレーン直撃で、侵入後の横展開に直結する類型です。
• Workspace ONE UEMのSSRFはクラウド実行環境ではメタデータサービスや内部APIへの踏み台化が現実的で、SolarWinds Web Help Deskのデシリアライズは即時RCEの足がかりになります。Ivantiは境界側デバイスや管理系の曝露が多く、初動の突破口として定番化しています。
• KEV入り＝実攻撃の証左。連邦機関はBOD 22-01により期限内の是正が義務化。民間も内部SLA化し、インターネット露出の遮断とパッチ適用、そして“漏れていると仮定した”資格情報の再発行まで一気通貫で進めるべき局面です。
• ハンティングの肝は「管理サーバからの不自然な外向き通信」と「アプリケーション実行ユーザー配下での新規ファイル生成・プロセス起動」。SSRFの内向き到達痕跡、Javaシリアライズのマジックバイト、Webシェル生成の痕跡を押さえます。
• メトリクス的には“いま動いている・すぐ動ける・被害確率が高い”案件です。技術対応に加えて、資産台帳の鮮度、経営へのリスク翻訳、サプライチェーンへの波及を前提としたコミュニケーションを同時並行で回すのが実務です。

はじめに

CISAがSolarWinds、Ivanti、Workspace ONE UEMの3件をKEVに追加しました。KEVは「悪用が観測された脆弱性」のリストで、連邦政府機関に対しては定められた期日までの是正を義務づけています。すなわち、これは“理論上の脆弱性”ではなく“攻撃運用に載っている入り口”であり、民間にとっても即応対象です。管理系ツールにまたがるこの組み合わせは、単発のパッチ作業にとどまらず、管理プレーンの露出方針・ネットワーク境界設計・資格情報の扱いを見直す好機でもあります。地政学的緊張やサプライチェーン依存が高まる中、管理系の一点突破から広範囲の業務資産へ拡大するリスクを現実のものとして扱う必要があります。

深掘り詳細

事実関係（一次情報ベース）

• CISAは「Known Exploited Vulnerabilities（KEV）カタログ」を更新し、実悪用が確認された脆弱性を追記しています。KEV入りは連邦機関に修正期限遵守を義務づけるもので、是正未了はリスク管理上の重大インシデントになり得ます［CISA KEVカタログ］に記載があります。
  • CISAのBOD 22-01は、KEVへの追加を受けてFCEB機関が期限内に是正することを拘束力をもって定めています［CISA BOD 22-01］です。
• 今回の3件のうち、以下2件はCVEが公表済みです。
  • SolarWinds Web Help DeskのAjaxProxyコンポーネントに関するデシリアライズ脆弱性（CVE-2025-26399）。報道ではランサムウェア運用者との関連が指摘されていますが、攻撃グループ特定は公開情報の範囲では断定できません［CVE-2025-26399（cve.org）］です。
  • Omnissa（旧VMware）Workspace ONE UEMにおけるサーバーサイド・リクエスト・フォージェリ（SSRF）（CVE-2021-22054）［CVE-2021-22054（cve.org）］です。
• Ivantiについては、CISAのKEVエントリで当該CVEと影響製品が示されます。Ivanti製品は過去にも境界デバイスや管理系での重大欠陥が継続的に狙われてきた経緯があり、今回も「初期侵入の踏み台」としての性質が色濃いと考えられます。詳細はKEVの当該ページで確認すべきです［CISA KEVカタログ］です。
• これら3件は「すでに悪用の証拠がある」ことがKEV掲載の根拠であり、緊急度は高いと位置づけられます。報道の概況整理としてはThe Hacker Newsの記事が参考になりますが、対処判断は一次情報（CISA、CVEレコード、ベンダー通達）を基準にすべきです［The Hacker Newsの該当記事］です。

出典（一次情報）

• CISA Known Exploited Vulnerabilities Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• CISA Binding Operational Directive 22-01: https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities
• CVE-2025-26399: https://www.cve.org/CVERecord?id=CVE-2025-26399
• CVE-2021-22054: https://www.cve.org/CVERecord?id=CVE-2021-22054

補足（報道）

• The Hacker News summary: https://thehackernews.com/2026/03/cisa-flags-solarwinds-ivanti-and.html

インサイト（編集部の視点）

• 管理プレーン偏重の3連発が示すもの
  • MDM/UEM、ヘルプデスク、境界アプライアンス——いずれも「権限の集積点」であり、一度取られると横展開の摩擦が極端に下がります。今回の組み合わせは単なる“CVE 3件”ではなく、「組織の運用の中枢」を揺さぶる狙いを反映していると読めます。
• SSRFとデシリアライズの“実務的な怖さ”
  • SSRFは外形的には“内部へ向けたHTTPリクエスト代行”にすぎませんが、クラウド上の自己ホスト（IaaS上のUEMサーバなど）ではメタデータサービスや内部管理APIに触れられるため、トークン窃取やサービス間認証の突破につながります。加えてログは「成功した外向き通信」として埋もれがちです。
  • デシリアライズRCEは攻撃者の任意コード実行に直結し、Webシェル設置、EDR妨害、認証情報収集まで短いキルチェーンで進行します。Help Deskは社内公開前提のことも多く、ゼロトラスト設計の“置き去り”になっている組織では直撃します。
• 「KEV＝SLA」の文化を根づかせる
  • 公的機関に限らず、民間でもKEV入りを内部SLAの起点にするのが効果的です。パッチ提供済みでインターネット露出があるなら“数日以内”、露出がなくても“1サイクル（例：7〜14日）以内”、パッチ未提供なら“即時の曝露遮断と代替コントロール適用”を標準にし、経営合意をとるのが現実解です。
• 資格情報の“暗黙の漏えい”を前提に
  • 管理系サーバはAPIキー、サービスアカウント、MDMデバイス管理トークンなど、横展開の燃料を抱えます。パッチ適用だけでは不十分で、「漏えっているかもしれない」前提でのローテーション計画をセットで回すべきです。

脅威シナリオと影響

以下は公開情報を前提に、MITRE ATT&CKに沿って想定する仮説シナリオです。環境差分により挙動は変わり得るため、あくまでハンティング設計の叩き台として参照ください（仮説であることを明示します）。

• シナリオA：Workspace ONE UEM（CVE-2021-22054, SSRF）

  • 初期侵入: T1190 Exploit Public-Facing Application
  • SSRF横展開: 内部API/クラウドIMDSへの到達（T1552.005 Unsecured Credentials: Cloud Instance Metadata API）
  • 認証情報悪用: T1078 Valid Accounts
  • C2確立: T1071.001 Application Layer Protocol: Web Protocols
  • データ探索/持ち出し: T1046 Network Service Scanning、T1005 Data from Local System、T1041 Exfiltration Over C2 Channel
  • 影響の要点: クラウドリソースの短時間ハイジャック、UEM配下端末への悪性プロファイル配布のリスク

• シナリオB：SolarWinds Web Help Desk（CVE-2025-26399, デシリアライズRCE）

  • 初期侵入: T1190 Exploit Public-Facing Application
  • 実行: T1059 Command and Scripting Interpreter
  • 永続化: T1505.003 Server Software Component: Web Shell
  • ツール持込: T1105 Ingress Tool Transfer
  • 横展開: T1021 Remote Services、T1210 Exploitation of Remote Services
  • 防御回避: T1562 Impair Defenses
  • 影響の要点: 社内ヘルプデスクDB（チケット、添付、個人情報）の一括窃取、ドメイン横展開の踏み台化

• シナリオC：Ivanti製品（KEV指定CVEに依存、一般化）

  • 初期侵入: T1190 Exploit Public-Facing Application、またはT1133 External Remote Services
  • 認証情報取得/悪用: T1552 Unsecured Credentials、T1078 Valid Accounts
  • 横展開/持ち出し: T1021 Remote Services、T1041 Exfiltration Over C2 Channel
  • 影響の要点: 境界装置でのセッション乗っ取りや構成改変、VPN/ゼロトラスト経路のバイパス

検知とフォレンジックのヒント（仮説）

• SSRF痕跡: 管理サーバからの169.254.169.254（IMDS）や内部FQDN宛の突発的HTTPトラフィック、アプリログにおける内部リソースへのプロキシ要求の急増
• デシリアライズRCE痕跡: リクエストボディにJavaシリアライズのマジックバイト（ac ed 00 05）や不審なContent-Type、Webアプリ実行ユーザー配下での新規バイナリ/スクリプト生成、Tomcat等の子プロセスからのOSコマンド起動
• 境界機器/管理系共通: 短時間での大量認証失敗→成功への転換、設定バックアップのダウンロード、未知の管理アカウント作成、既存トラストの変更

参考（ATT&CK）

• T1190 Exploit Public-Facing Application: https://attack.mitre.org/techniques/T1190/
• T1505.003 Web Shell: https://attack.mitre.org/techniques/T1505/003/
• T1071.001 Web Protocols: https://attack.mitre.org/techniques/T1071/001/
• T1105 Ingress Tool Transfer: https://attack.mitre.org/techniques/T1105/
• T1021 Remote Services: https://attack.mitre.org/techniques/T1021/
• T1552.005 Cloud Instance Metadata API: https://attack.mitre.org/techniques/T1552/005/
• T1041 Exfiltration Over C2 Channel: https://attack.mitre.org/techniques/T1041/

セキュリティ担当者のアクション

“止血→安定化→再発防止”の順で、管理プレーン特性に合わせて一気に畳み込みます。

• 即時（0〜48時間）

  • 資産の突合と露出遮断
    • 対象製品（SolarWinds Web Help Desk、Omnissa Workspace ONE UEM、該当Ivanti製品）の所在・バージョン・インターネット露出有無をESM/CMDBと外部ASM（Shodan/Censys等）で二重確認します。
    • インターネット露出がある管理UIは一時的に閉塞（WAF/ACL）、社内VPNまたはIP許可リスト限定にします。公開継続が不可避な場合はCDN/WAFで仮想パッチ（シグネチャ/ルール適用）を行います。
  • パッチ/ワークアラウンド
    • ベンダーの最新修正（あるいは公式ワークアラウンド）を適用します。KEVの当該エントリとベンダー通達を一次情報で確認します［CISA KEVカタログ、各CVEレコード］です。
  • 資格情報・トークンの段階的ローテーション
    • 管理サーバ上のAPIキー、サービスアカウント、DB接続情報、MDM配布プロファイルの署名鍵など、可視化されているシークレットから優先ローテーションします。影響範囲が広いものはメンテナンスウィンドウを設定し、段階的に進めます。
  • 早期ハンティング
    • UEM/Help Desk/境界機器ログのホットスポットを絞り込み、前述の痕跡を相関検索します。特に管理サーバからの内向き/外向き異常通信と、アプリ実行ユーザーのファイル生成・プロセス起動は重点確認します。

• 短期（3〜7日）

  • セグメンテーションと最小特権の徹底
    • 管理系サーバのアウトバウンドを明示的許可リストに収斂（目的外ドメイン/IPは拒否）。クラウド上で稼働する場合はIMDSへのアクセスを明示的に遮断するか、メタデータv2（IMDSv2）強制などのハードニングを行います。
  • 監視とルール強化
    • SIEM/EDRに検知ルールを追加（Javaシリアライズペイロード指標、AjaxProxy関連の不審なURI/パラメータ、UEMサーバからのIMDSアクセス、短時間に集中する管理API呼び出しのアノマリー）。
  • 影響評価とコミュニケーション
    • チケットDB/MDM配布物/設定バックアップのアクセス履歴を確認し、個人情報・機微データの窃取可能性を評価します。必要に応じて法務・広報と連携し、インシデント対応計画に沿って外部説明の準備を進めます。

• 中期（2〜4週間）

  • 「KEV＝内部SLA」の制度化
    • KEV追加からの是正期限（例：インターネット露出は7日以内、非露出は14日以内、未パッチ時は即遮断）を運用標準として明文化し、役員合意を取得します。BOD 22-01の考え方を民間にも移植します［CISA BOD 22-01］です。
  • 再発防止の設計変更
    • 管理プレーンは原則“非公開・跳び地・多要素”へ。SSO/MFAを必須化し、踏み台（Privileged Access Workstation, PAW）経由のみ接続にします。境界機器は構成の二人承認やコンフィグ監査を導入します。
  • サプライチェーンの連鎖切断
    • MSP/ベンダー接続、RMM/ITSMとの連携トークンを棚卸しし、最小化・ローテーション・監査を定常化します。第三者のパッチ適用SLAと露出方針も契約に織り込みます。

• 参考になる具体的な検出・抑止ヒント

  • WAF/リバースプロキシでのSSRF緩和（内部アドレス帯・IMDSのブロック、http://169.254.169.254/ などへのアクセス拒否）
  • EDRでのプロセス親子関係監視（Tomcat/Java等からのcmd/powershell/bash起動を高優先度でアラート）
  • ファイル整合性監視（Webアプリ配下への新規.jsp/.aspx/.php等の生成）
  • DNS監視（管理サーバからの未知FQDN宛クエリ急増のアノマリー検知）

最後に、今回のメトリクスが示唆するのは「すでに弾は飛んでおり、組織側はすぐに動ける材料が揃っている」という事実です。優先度の高い止血策（曝露遮断・パッチ・資格情報ローテーション）を先に打ち、同時に“管理プレーンを公にしない”という原則設計に回帰することが、中長期のコストを最も下げる道です。

参考情報

• CISA Known Exploited Vulnerabilities Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• CISA Binding Operational Directive 22-01: https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities
• CVE-2025-26399（SolarWinds Web Help Desk）: https://www.cve.org/CVERecord?id=CVE-2025-26399
• CVE-2021-22054（Workspace ONE UEM SSRF）: https://www.cve.org/CVERecord?id=CVE-2021-22054
• The Hacker News: https://thehackernews.com/2026/03/cisa-flags-solarwinds-ivanti-and.html
• MITRE ATT&CK（T1190 ほか）: https://attack.mitre.org/techniques/T1190/