Packet Pilot X (Twitter)
2026-03-23

ハッカーがCVE-2025-32975を悪用し未パッチのQuest KACE SMAシステムをハイジャック

ハッカーがCVE-2025-32975という最大の深刻度を持つ脆弱性を悪用し、未パッチのQuest KACE Systems Management Appliance(SMA)をハイジャックしていると報告されています。この脆弱性は認証バイパスを可能にし、攻撃者が正当なユーザーを偽装することを許します。Arctic Wolfによると、2026年3月9日以降、顧客環境での悪意のある活動が観察されており、攻撃者は管理者アカウントを完全に乗っ取ることができる可能性があります。Questは2025年5月にこの問題を修正しましたが、未パッチのシステムがインターネットにさらされているため、攻撃が続いています。

メトリクス

このニュースのスケール度合い

5.0 /10

インパクト

8.0 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.0 /10

このニュースで行動が起きる/起こすべき度合い

8.0 /10

主なポイント

  • CVE-2025-32975は、攻撃者が有効な認証情報なしに正当なユーザーを偽装できる認証バイパスの脆弱性です。
  • 攻撃者は、管理者アカウントを乗っ取り、リモートコマンドを実行するためにこの脆弱性を悪用しています。

社会的影響

  • ! この脆弱性の悪用は、企業のデータセキュリティに深刻な影響を及ぼす可能性があります。
  • ! 攻撃者による管理者アカウントの乗っ取りは、企業の運営に重大な混乱を引き起こす恐れがあります。

編集長の意見

CVE-2025-32975の悪用は、サイバーセキュリティの観点から非常に深刻な問題です。この脆弱性は、攻撃者が認証をバイパスし、管理者アカウントを完全に乗っ取ることを可能にします。特に、未パッチのシステムがインターネットに接続されている場合、攻撃者は容易にアクセスを得ることができ、企業の機密情報やシステムに対する制御を奪うことができます。これにより、企業はデータ漏洩やシステムの不正利用といったリスクにさらされます。さらに、攻撃者はリモートコマンドを実行し、悪意のあるペイロードをダウンロードすることができるため、被害は拡大する可能性があります。企業は、最新のパッチを適用し、SMAインスタンスをインターネットにさらさないようにすることが重要です。今後の課題としては、脆弱性の早期発見と修正が挙げられます。また、企業はセキュリティ教育を強化し、従業員が脅威を認識し、適切に対処できるようにする必要があります。サイバー攻撃はますます巧妙化しており、企業は常に最新の情報を把握し、対策を講じることが求められます。

解説

KACE SMAの認証バイパス(CVE-2025-32975)が実害化──管理プレーンからの横展開が最短距離です

今日の深掘りポイント

  • CVSS 10.0の認証バイパスCVE-2025-32975が現実に悪用され、未パッチのQuest KACE Systems Management Appliance(SMA)で管理者乗っ取りが観測されている状況です。2025年5月に修正済みにもかかわらず、2026年3月以降に活動が顕在化しています。
  • IT資産・パッチ配布の“管理プレーン”が侵害されると、数百〜数千台規模のエンドポイントへ正規機能でスクリプト配布・設定変更・ソフト配信が可能になり、ランサムウェアや窃取の起点として極めて危険です。
  • いまだインターネットに露出したSMAが存在し、攻撃者のスキャンと即時悪用のループに巻き込まれている兆候があります。公開を前提にせず、閉域/VPN越し・IP制限・WAF/リバプロでの保護を徹底すべきです。
  • パッチ適用に加え、「既にやられた前提」の確認が要諦です。新規管理者の作成、タスク・スクリプト配信履歴、エージェント経由の一斉実行、外部通信先の変化を優先調査します。
  • 指標的には“今まさに動くべき案件”です。新規性よりも即応性と実運用への影響が突出しており、CISO/SOC/インフラが一枚岩で“管理プレーンの特別SLA”を適用することが勝敗を分けます。

はじめに

管理系アプライアンスは、目立たず組織を支える土台のような存在です。KACE SMAは資産インベントリ、パッチ配布、スクリプト実行、ソフトウェア展開といった統制のハブであり、便利さの裏返しとして“管理プレーンが破られると全社が破られる”という非対称性を抱えます。今回のCVE-2025-32975は、その最悪のシナリオをまっすぐに貫く認証バイパスです。パッチは1年前に出ているのに、観測される侵害は今。これは単なる遅延ではなく、管理プレーンのパッチ適用・公開設計・監視体制が機能不全に陥りやすい構造問題のシグナルでもあります。いま、優先順位を入れ替える時です。

深掘り詳細

事実関係(確認できていること)

  • CVE-2025-32975はKACE SMAの認証バイパスで、攻撃者が正規ユーザーを偽装でき、管理者アカウントの完全乗っ取りに至ると報じられています。CVSSは10.0です。
  • Arctic Wolfは2026年3月9日以降、顧客環境での悪性アクティビティを観測しています(未パッチのインターネット露出インスタンスが標的)です。
  • Questは2025年5月に修正を提供済みで、修正済みビルドとして13.0.385、13.1.81、13.2.183、14.0.341(パッチ5)、14.1.101(パッチ4)が挙げられています。
  • これらは公開報道に基づく事実であり、未パッチ・公開状態が継続する限り、悪用は続くとみられます。
    参考: The Hacker Newsの報道

インサイト(なぜ今、何が問題か)

  • “パッチは出ているのに止まらない”。ここに管理プレーン特有の落とし穴があります。KACEのような中核アプライアンスは、適用時の影響範囲が大きく、運用窓が限られ、バックアウト手順の準備も重くなりがちです。そのため通常のWindows/ブラウザ系と同列のSLAでは回りません。結果として、露出期間が長引き、探索・即時悪用のスキャナに繰り返し捕捉される悪循環が起きます。
  • 認証バイパスは“境界防御で止めづらい”脆弱性です。WAFが有効でも、プロトコル上正当なフローに見える形でのセッション確立・なりすましであれば、検知は平易ではありません。だからこそ、公開設計を見直し、露出そのものを減らすことが最短の防御になります。
  • 指標の含意としては、新規性よりも「攻撃成立確度」「即時の運用影響」「取るべき対策の明確さ」が卓越しています。優先度は高く、かつ具体的な行動が切り出せる案件です。逆に“情報待ち”はリスクの先送りにしかなりません。

ログ観点とハンティングのヒント(仮説)

  • 直近30日での管理者アカウント作成・権限昇格イベントの有無(既存アカウントの権限変更含む)を確認します。
  • 短時間に多数のエンドポイントへ配信された新規スクリプト/タスク/パッケージのジョブ履歴の急増を確認します。
  • 管理UIへのログイン源IPの変化(国外・未使用ASN・新規UA)と、認証ログにおける“成功のみ”の異常(失敗が全く出ないパターンはバイパスの匂い)を相関で見ます。
  • SMAから外向きのHTTP(S)転送先の新規ドメイン/IP(特にCDNを偽装した直近発行証明書のホスト)を抽出します。
  • KACEエージェント配布チャネルを悪用した横展開の痕跡(同一時刻帯でのPowerShell/WSH実行、Defender除外ポリシー変更、復旧関連サービス停止の試行)をEDRで追跡します。
    以上は一般的なハンティングの視点であり、個別のログスキーマは各環境に合わせて読み替える必要があります。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。実環境では適用技術や順序が異なる可能性があります。

  • 初期侵入
    • T1190 Exploit Public-Facing Application(インターネット露出のSMAに対するCVE-2025-32975悪用)
  • 認証回避・アカウント操作
    • T1078 Valid Accounts(偽装セッションで正規権限を獲得)
    • T1136 Create Account(持続化目的で新規管理者を作成)
  • 実行・ツール展開
    • T1059 Command and Scripting Interpreter(正規のスクリプト配信機能でPowerShell等を実行)
    • T1105 Ingress Tool Transfer(C2ビーコンやペイロードをエンドポイントへ転送)
  • 発見
    • T1087 Account Discovery/T1069 Permission Groups Discovery(ドメイン/ローカル権限の把握)
    • T1018 Remote System Discovery/T1046 Network Service Discovery(配下資産の列挙)
  • 横展開
    • T1072 Software Deployment Tools(SMAのソフト配信・パッチ機能を悪用して一斉展開)
    • T1021 Remote Services/T1570 Lateral Tool Transfer(管理共有やRMM連携を利用)
  • 防御回避
    • T1562 Impair Defenses(EDR/AV除外や停止、ログ削除)
  • 影響
    • T1486 Data Encrypted for Impact(ランサム展開)
    • T1490 Inhibit System Recovery(復旧妨害・スナップショット削除)

影響の深刻さは、SMAが“組織の手足”を動かす統制点であることに起因します。単一ホストの侵害ではなく、ドメイン全体・エージェント配下全体に一気に広がるポテンシャルがあり、事業継続・公共サービスの停止リスクに直結します。公共部門や医療・教育など、広範な端末を一元管理する組織は被害の波及半径が大きくなりがちです。

セキュリティ担当者のアクション

優先度と時系列で整理します。判断の遅れが被害規模を増幅させます。

  • 直ちに(0–24時間)

    • 自組織にKACE SMAが存在するかを資産管理・ネットワークフローで特定します。インターネット露出があれば即時遮断し、管理ネットワーク/VPN経由のみに限定します。
    • バージョンを確認し、修正ビルド(13.0.385/13.1.81/13.2.183/14.0.341 パッチ5/14.1.101 パッチ4)へ更新します。更新前に現在の構成・ジョブ・アカウントのスナップショットを採取します。
    • 管理者アカウントの増減と直近の権限変更履歴、スクリプト・パッケージ・パッチ配布のジョブ履歴を収集・保全します。ログ保全は可能な限りオフボックスに退避します。

  • すぐに(24–72時間)

    • 侵害の兆候が少しでもあれば、SMAホストの隔離、認証情報(SMAのドメイン参加アカウント、リポジトリ接続、共有のアクセス鍵)の強制ローテーションを実施します。
    • SMA経由で配布された不審スクリプトの二次感染調査をEDRで展開し、影響端末の封じ込めを行います。
    • 外向き通信のブロック/許可リストを見直し、SMAからの任意外部通信を最小化します(アップデート・ライセンス検証等の正当な宛先のみ許可)です。

  • 短期(3–7日)

    • 管理プレーン専用のパッチSLAを定義し、通常のOS/アプリとは別系統で“最優先”処理に格上げします。冗長化・メンテ時間の確保・バックアウト手順を標準化します。
    • アクセス制御を強化します(管理者UIのIP許可制、MFA、必要最小権限ロールの再設計)。
    • 異常検知のプレイブックを用意します(管理者作成、ジョブ大量実行、外向き新規ドメイン通信、AV例外の登録等をトリガにアラート)です。

  • 中期(2–4週)

    • 露出面の定期スキャン(ASM/外部スキャン)にKACE SMAを明示的に含め、公開ポート/エンドポイントの継続監査を回します。
    • 例外申請によるパッチ延期を可視化し、経営層レビュー(期限・補完コントロール・リスク受容の明文化)を義務化します。
    • バックアップ方針の見直し(SMAの構成・タスク・スクリプトの改ざん検出と、改ざん時に“戻せる”整合性確保)を行います。

最後に、この事案は“管理プレーンをどう守るか”という構造問題への回答を迫っています。単なる一脆弱性の対応に留めず、公開設計・パッチSLA・監視・資産台帳の4点セットを、今期のKPIに引き上げてください。被害の広がりを最小にする最短ルートは、準備の質にあります。

参考情報

  • The Hacker News: Hackers Exploit CVE-2025-32975 to Hijack Unpatched Quest KACE SMA Systems(2026-03-23): https://thehackernews.com/2026/03/hackers-exploit-cve-2025-32975-cvss-100.html

背景情報

  • i CVE-2025-32975は、Quest KACE SMAに存在する認証バイパスの脆弱性であり、CVSSスコアは10.0です。この脆弱性を利用することで、攻撃者は正当なユーザーを偽装し、管理者アカウントを完全に乗っ取ることが可能になります。
  • i この脆弱性は2025年5月に修正されましたが、未パッチのシステムがインターネットに接続されている場合、攻撃者は悪用することができます。Arctic Wolfは、2026年3月9日以降に悪意のある活動を観察しています。
Packet News 一覧へ戻る