主なポイント

✓ SolarWinds Web Help Deskの脆弱性を利用した攻撃が確認されました。
✓ 攻撃者は、リモートコード実行を通じてネットワーク内で横移動を行いました。

社会的影響

! この攻撃は、企業のセキュリティ対策の重要性を再認識させるものです。
! 特に、インターネットに接続されたサービスの脆弱性が、全体のドメイン侵害につながる可能性があることを示しています。

編集長の意見

最近のSolarWinds Web Help Deskに対する攻撃は、サイバーセキュリティの脆弱性がどのようにして大規模な侵害につながるかを示す重要な事例です。攻撃者は、既存の脆弱性を利用して初期アクセスを取得し、その後、組織内での横移動を行いました。このような攻撃は、特にインターネットに接続されたサービスが多い現代の企業にとって、非常に危険です。企業は、常に最新のパッチを適用し、脆弱性を監視する必要があります。また、攻撃者が利用する手法が「生き残りの技術」に依存しているため、従来の防御策だけでは不十分です。企業は、行動ベースの検出を強化し、ネットワーク全体での監視を行うことが求められます。さらに、攻撃者が利用する正当なツールを悪用することが多いため、これらのツールの使用を厳格に管理することも重要です。今後、企業はセキュリティの多層防御を強化し、脆弱性管理を徹底する必要があります。これにより、攻撃のリスクを軽減し、迅速な対応が可能となります。

解説

SolarWinds Web Help Deskの露出が“ITからITへの横展開”を呼び込む——RCE後の正当ツール活用まで一気通貫です

今日の深掘りポイント

入口はインターネットに露出したSolarWinds Web Help Desk（WHD）。初期侵入後はPowerShell実行、正当なZoho ManageEngineコンポーネントの導入、逆SSH/RDP、スケジュールタスクで永続化という、“運用ツールの信頼連鎖”を逆手に取った現実的なルートです。
新規に公表されたCVE-2025-40551（制御バイパス）やCVE-2025-40536（デシリアライズ）に加え、既修正のCVE-2025-26399も絡む可能性が示唆され、パッチの新旧問わず「WHDを更新していない・外に出している」組織が狙われやすい局面です。
メトリクス全体像からは、新奇性よりも「再現性と即用性」が勝る事案という印象です。すなわち“今すぐ止血できる対策”が結果を大きく左右します。境界での公開遮断、最小権限の再設計、RMMの厳格管理——この3点の着手速度が被害規模を分けるはずです。

はじめに

ITを支えるために導入したヘルプデスクやリモート運用の仕組みが、そのまま攻撃者の運用基盤に転用される。そんな皮肉な展開が、今回のWHD悪用事案の本質に見えます。攻撃者は無理をせず、すでに社内で信頼され、ファイアウォールやプロキシを抜けやすい“運用の導線”に乗って移動します。だからこそ、守る側は「境界で守る」「脆弱性を塞ぐ」に加えて、「運用の導線を設計し直す」という視点が問われる局面です。

深掘り詳細

事実関係（把握できていること）

Microsoftは、インターネットに露出したSolarWinds Web Help Desk（WHD）を初期侵入点とする多段階攻撃を観測しています。攻撃ではWHD経由でPowerShellが起動され、悪性ペイロードがダウンロード・実行されました。さらにZoho ManageEngineの正当コンポーネントが導入され、持続的なリモート制御が確立されています。結果として、ドメイン管理者等の敏感なドメインユーザー/グループ列挙、逆SSHやRDPアクセス、スケジュールタスク作成などが行われました、という報告です。
関与が疑われる脆弱性は、新たに公表されたCVE-2025-40551（セキュリティ制御バイパス）とCVE-2025-40536（デシリアライズ）に加え、以前に修正済みのCVE-2025-26399（デシリアライズ）です。CISAはCVE-2025-40551を既知の悪用脆弱性（KEV）に追加し、連邦機関に修正適用を促しています。
本件は“サプライチェーン汚染”ではなく、“公開された業務ツールの脆弱性悪用→社内横展開”という直線的な作戦で、既存の境界装置や運用フローの信頼を逆用している点が特徴です。
公開報道の一例として、The Hacker NewsがMicrosoftの観測内容を要約しています（一次情報はベンダー通達・MSの脅威レポートに依拠する前提）［参考情報を参照］。

なぜ効いたのか（インサイト）

運用基盤の“信頼の迂回路”が豊富です
WHDはドメイン連携やメール/チケット連携など、他システムと生きた接続を持つのが常です。侵害直後から社内の要所に通信できる位置取りができ、横展開の初動コストが低くなります。WHDサーバがドメイン参加・広いアウトバウンド許可・運用アカウントの秘匿資格情報を保持、といった“便利な設定”は、攻撃者から見ると“そのまま使える踏み石”です。
“ITからITへ”のピボットが静かに強いです
悪名高い未知マルウェアを持ち込むより、ホワイト寄りの運用ツール（今回はZoho ManageEngineの正当コンポーネント）で常駐し、ヘルプデスク端末からのRDPや逆SSHを“業務の延長線”に偽装するほうが目立ちません。EDRが弱い領域や例外だらけの管理ネットワークでは、特に通りがちです。
技術的には“平凡”、運用的には“厄介”です
PowerShell起動、スケジュールタスク作成、ドメイン列挙——いずれも珍しくない手口です。しかし親プロセスがWHD（Java/Tomcat/サービス）であること、導入されたのが“正当ツール”であることが、運用監視の盲点を突きます。検知はできるのに、正当化ロジックのせいで見逃しやすい、が本件の難所です。

脅威シナリオと影響

以下は、観測事実を核に置きつつ、現場で想定しておくべきシナリオ仮説です（MITRE ATT&CK準拠の目安を併記します）。

公開WHDの脆弱性悪用でRCE獲得
T1190（公開アプリケーションの悪用）。40551/40536/26399のいずれか、または複合経路で初期実行に到達する仮説です。
ペイロード/ツール持ち込みと実行基盤確立
T1059.001（PowerShell）、T1105（Ingress Tool Transfer）。WHDサービス配下やTomcat配下からPowerShellを起動し、ダウンロード→展開まで自動化する流れです。
正当ツールによる永続化とC2
T1053.005（スケジュールタスク）、T1547（ブート/ログオン自動実行の登録）、T1090/T1572（プロトコルトンネリング/プロキシ——逆SSH含む）、T1021.001（RDP）。RMM/運用エージェントの常駐や逆トンネルで、検知を回避します。
資格情報・権限・横移動
T1003（Credential Dumping）、T1078（正規アカウント悪用）、T1069（権限/グループの列挙）、T1021（リモートサービス）。ドメイン管理者等の敏感アカウントを足掛かりに、DC/ファイルサーバ/チケットDBへ展開する仮説です。
事業影響
ドメイン全体の掌握、メール・チケット・資産情報の漏えい、最終段での暗号化・破壊（ランサム/ディスラプション）に至るリスクが想定されます。IT運用系の中枢が踏まれるため、復旧オペレーションにも直接の支障が出やすいです。

総じて、本件は“成功確率が高く、組織横断の運用導線に直撃する”タイプです。技術的な奇抜さは限定的でも、攻撃者有利の時間を長く与える構造があるため、優先度高での対処が妥当です。

セキュリティ担当者のアクション

即効性の高い打ち手から順に、運用の現実に合わせて並べます。

まず止血（公開遮断・最小化）
- インターネットに露出したWHDは直ちに外部公開を停止し、ゼロトラスト/リモートアクセス経路（VPN・ZTNA・mTLS）配下に移すか、IP許可制にします。
- WAF/IPS任せは“凌ぎ”にはなりますが、公開を続ける理由がなければ閉じるのが最短のリスク削減です。
パッチとバージョン確認
- SolarWindsの最新アドバイザリに基づき、WHDを最新版に更新します。40551/40536/26399に対応する修正適用状況を棚卸しし、ステージング検証後に本番反映します。
- 過去に「適用済み」の記録があっても、ロールバックや多環境（DR/検証用）の取りこぼしがないか再点検します。
資格情報の健全化（WHD周辺を優先）
- WHDが保持・参照する資格情報（ドメイン連携、DB、SMTP、APIトークン等）を洗い出し、サービスアカウントをローテーションします。可能な限りgMSAや最小権限・委任制約へ移行します。
- ドメイン管理者・特権グループの認証情報が関与した可能性がある場合、計画的に強制リセットを含む手順でやり直します。
RMM/運用ツールの厳格管理
- 自組織で許可するRMM/運用ツール（Zoho ManageEngineを含む）の“正規リスト”を明文化し、これ以外の新規導入・常駐をEDR/WDAC/AppLockerでブロックします。
- 最近数週間の間に新たに導入・常駐した運用エージェント、常駐サービス、ドライバを棚卸しし、導入経路（WHD経由含む）と正当性を必ず突き合わせます。
監視・検知（“親がWHD”の痕跡を狙い撃ち）
- 親プロセスがWHD関連（java.exe、Tomcat、WHDサービス）であるPowerShell/cmd/pwsh起動をハントします。例: 「DeviceProcessEvents | where InitiatingProcessFileName in ('java.exe','tomcat*.exe','SolarWinds*.exe') and FileName in ('powershell.exe','pwsh.exe','cmd.exe') and ProcessCommandLine contains '-nop' or 'Invoke-WebRequest'」のような観点です。
- スケジュールタスク新規作成（Windows Security 4698）とサービス作成（7045）、RDPログオン（TerminalServices-RemoteConnectionManager 1149）をWHDサーバで相関し、直前に外向きダウンロード（Sysmon 3/DNS 22）やPowerShell Script Block（4104）がないか追います。
- 逆SSHの痕跡として、ssh.exeの「-R」指定や外向き高頻度・長時間セッションをネットワーク側からも拾います。プロキシログでの未知FQDN/TLS SNI、急増するManageEngine関連ダウンロードも合わせてモニタします。
ネットワークとホストのハードニング
- WHDを管理VLAN/セグメントに隔離し、AD/DB/メール等への到達は必要ポートのみに絞り、アウトバウンドも“宛先許可制”にします。
- PowerShellはConstrained Language ModeとScript Block Logging、AMSI連携を有効化します。Sysmonの基本セット（1/3/7/10/11/12/13/22/23あたり）を整備し、90日以上の保持を目指します。
インシデント対応の要点
- 侵害兆候があればWHDサーバはネットワーク隔離し、ボリュームシャドウやメモリの迅速な取得を行います。ADの横展開有無を優先判定し、DC/認証基盤のフォレンジックに拡張するかを早期に決めます。
- ドメインまで到達が疑われる場合、KRBTGTローテーション等の重措置は計画的に段階実施します（影響評価と回復計画を先に固めます）。
継続的な備え（ASMとパープルチーム）
- 攻撃面管理（ASM）で“インターネットに晒された業務用Web/運用系”の露出を継続サーベイし、公開方針と整合しないサービスは原則クローズします。
- 本件TTPを題材に、WHD→PowerShell→RMM常駐→RDP/逆SSH→ドメイン列挙のパープル演習を1スプリントで回し、検知カバレッジと運用ハンドブックを更新します。

最後に、今回のメトリクス示唆を実務に落とすなら「予測容易・行動可能・すぐ効く」系の対策を前に寄せるのが肝です。公開停止／更新適用／RMM許可制の三点は、コスト対効果が高く、しかも横展開の“導線”そのものを断つため、防御側の時間を取り戻せます。奇をてらわず、まず導線を断つ——この順番が勝ち筋です。

参考情報

The Hacker News: SolarWinds Web Help Desk Exploited for RCE to Establish Persistent Remote Control（2026-02）https://thehackernews.com/2026/02/solarwinds-web-help-desk-exploited-for.html

（注）本稿は公開情報の要点とベンダー通達の一般的傾向を踏まえて編集しています。個別の脆弱性詳細・修正バージョンは、最新のベンダーアドバイザリおよび公的データベースをご確認ください、です。

背景情報

i SolarWinds Web Help Deskは、企業がITサポートを管理するためのツールです。最近の攻撃では、CVE-2025-40551やCVE-2025-40536などの脆弱性が悪用され、攻撃者は初期アクセスを取得しました。これにより、リモートコード実行が可能となり、システム内での横移動が行われました。
i CVE-2025-40551は、未認証の攻撃者が特定の機能にアクセスできるセキュリティ制御バイパスの脆弱性です。CVE-2025-40536とCVE-2025-26399は、信頼できないデータのデシリアライズに関連する脆弱性であり、リモートコード実行を引き起こす可能性があります。