Quest KACE Systems Management Appliance (SMA)を利用する企業にとって、極めて深刻なセキュリティ警告が発令されました。CVSSスコア10.0という最大深刻度の認証バイパス脆弱性『CVE-2025-32975』が、現在進行形でサイバー攻撃に悪用されていると報じられています。この脆弱性を悪用されると、攻撃者は有効な認証情報なしに正規ユーザーになりすまし、最終的には管理者アカウントを完全に掌握し、システム全体を乗っ取ることが可能になります。未パッチのシステムをインターネットに公開している場合、組織の重要なデータやインフラが深刻な危険に晒されるため、緊急の対策が求められます。
Quest KACE SMAの致命的脆弱性CVE-2025-32975とは:認証バイパスの脅威
今回悪用が確認されたCVE-2025-32975は、Quest KACE Systems Management Appliance (SMA)に存在する認証バイパスの脆弱性です。CVSSスコアは最高の10.0と評価されており、これは攻撃の容易さ、必要な権限の低さ、ユーザーインタラクションの不要さ、そしてシステム全体への影響の大きさから、最も危険な脆弱性として分類されることを意味します。
認証バイパスとは、本来、ユーザー名とパスワードによって厳重に保護されるべき認証プロセスを攻撃者が迂回し、不正なアクセスを可能にするメカニズムです。この脆弱性が悪用されると、攻撃者は正規の認証情報を知らなくても、あたかも正当なユーザーであるかのようにシステムにログインできてしまいます。特に、管理者権限を持つアカウントになりすまされると、システム全体が攻撃者の意のままに操作されることになり、その被害は計り知れません。
Quest KACE SMAは、企業内のIT資産管理、ソフトウェア展開、パッチ管理、セキュリティ設定などを一元的に行うための重要なツールです。このアプライアンスが乗っ取られることは、企業ネットワーク全体のセキュリティが根底から揺らぐことを意味します。Quest社は2025年5月にはこの問題に対処しており、バージョン13.0.385、13.1.81、13.2.183、14.0.341 (Patch 5)、および14.1.101 (Patch 4)で修正が適用されています。
進行中のサイバー攻撃:巧妙な手口とデータ窃取のリスク
サイバーセキュリティ企業Arctic Wolfの報告によると、2026年3月9日の週から、この脆弱性を悪用した悪意ある活動が顧客環境で観測されています。攻撃者は非常に巧妙な手口を用いて、未パッチのSMAシステムを標的にしています。
攻撃の具体的なステップ
- 管理者アカウントの乗っ取り: まず、CVE-2025-32975の認証バイパス脆弱性を悪用し、管理者アカウントを掌握します。これにより、システムに対する完全な制御権を得ます。
- ペイロードの実行: 掌握した管理者権限を利用し、
curlコマンドを通じて外部サーバー(216.126.225[.]156)からBase64エンコードされた悪性ペイロードをダウンロードし、実行します。このペイロードは、さらなる攻撃活動の足がかりとなります。 - 追加管理者アカウントの作成: SMAエージェントに関連するバックグラウンドプロセスである
runkbot.exeを悪用し、追加の管理者アカウントを作成します。これは、初期の侵入経路が塞がれた場合でもシステムへのアクセスを維持するための永続化の手法です。 - レジストリの変更: PowerShellスクリプトを用いてWindowsレジストリを変更します。これにより、システムの構成を変更したり、マルウェアの永続化を強化したりする可能性があります。
- 認証情報の窃取と偵察: Mimikatzなどのツールを使用して、システム内の認証情報を窃取します。また、ログイン中のユーザーや管理者アカウントを列挙したり、
net timeやnet groupコマンドを実行したりして、ネットワーク環境の偵察を行います。これは、攻撃の横展開や重要資産の特定に不可欠なステップです。 - 重要インフラへのアクセス: 最終的に、バックアップインフラ(Veeam、Veritas)やドメインコントローラーへのリモートデスクトッププロトコル(RDP)アクセスを確立します。これらのシステムは企業にとって最も重要な資産であり、アクセスを許してしまうと、データ窃取、ランサムウェアの展開、システム破壊など、壊滅的な被害につながる可能性があります。
これらの行動は、単なるシステムへの侵入に留まらず、企業の機密情報や事業継続性を脅かす深刻なサイバー攻撃へと発展する可能性を秘めています。
Quest KACE SMAのセキュリティ対策:組織が今すぐ取るべき行動
この深刻な脅威に対抗するためには、迅速かつ包括的なセキュリティ対策が不可欠です。特に、未パッチのQuest KACE SMAシステムを運用している組織は、以下の対策を直ちに実行する必要があります。
1. 最新パッチの適用
最も重要な対策は、Quest社が提供している最新のセキュリティパッチを適用することです。CVE-2025-32975は、バージョン13.0.385、13.1.81、13.2.183、14.0.341 (Patch 5)、および14.1.101 (Patch 4)で修正されています。これらのバージョン以降にアップデートすることで、脆弱性の悪用を防ぐことができます。パッチ適用は、システムの安定性や互換性を確認した上で、可能な限り速やかに実施してください。
2. SMAインスタンスのインターネットからの隔離
Quest KACE SMAインスタンスをインターネットに直接公開することは、極めて危険です。外部からの不正アクセスを防ぐため、ファイアウォールやVPNなどを利用して、信頼できるネットワーク内からのみアクセスできるように制限してください。必要に応じて、多要素認証(MFA)を導入し、アクセス制御を強化することも重要です。
3. 多層防御戦略の導入
単一の対策に依存するのではなく、多層的なセキュリティ防御を構築することが求められます。これには、以下のような対策が含まれます。
- 多要素認証(MFA)の導入: 管理者アカウントを含むすべての重要なアカウントにMFAを適用し、認証情報の窃取による不正ログインのリスクを低減します。
- 最小権限の原則: 各ユーザーやサービスに必要最小限の権限のみを付与し、攻撃者がシステムに侵入した場合の被害範囲を限定します。
- 定期的なログ監視: SMAシステムおよび関連するネットワークデバイスのログを定期的に監視し、不審なログイン試行、コマンド実行、ファイル転送などの異常なアクティビティを早期に検出します。
- 侵入検知システム(IDS/IPS)の活用: ネットワークトラフィックを監視し、既知の攻撃パターンや異常な振る舞いを検知・ブロックするシステムを導入します。
- エンドポイントセキュリティの強化: SMAエージェントが導入されているエンドポイントデバイスにも、最新のアンチウイルスソフトウェアやEDR(Endpoint Detection and Response)ソリューションを導入し、マルウェアの実行や不審なプロセスの検出能力を高めます。
この脆弱性がもたらす深刻なリスクと標的となりやすい組織
Quest KACE SMAのようなシステム管理アプライアンスは、企業ネットワークの「心臓部」とも言える存在です。このツールが管理する情報には、IT資産のインベントリ、ソフトウェアライセンス、ユーザーアカウント情報、パッチ適用状況、さらには機密性の高いシステム設定などが含まれます。そのため、攻撃者にとってSMAは、企業ネットワーク全体を掌握するための格好の標的となります。
この脆弱性が悪用されることで、攻撃者は以下のような深刻なリスクを組織にもたらす可能性があります。
- 機密データの窃取: SMAが管理するシステムから、顧客情報、知的財産、財務データなどの機密情報を盗み出す。
- ランサムウェア攻撃: ネットワーク全体にランサムウェアを展開し、システムの運用を停止させ、身代金を要求する。
- サプライチェーン攻撃の足がかり: SMAを足がかりに、取引先や顧客のシステムへの侵入を試みる。
- システム破壊と業務停止: 重要なシステム設定を改ざんしたり、データを破壊したりすることで、企業の業務を停止させる。
特に、セキュリティ専門のチームを持たない中小企業や、ITリソースが限られている組織は、このような高度なサイバー攻撃の標的となりやすい傾向があります。また、パッチ適用が遅れている、あるいはSMAインスタンスを安易にインターネットに公開している組織は、より高いリスクに晒されていると言えるでしょう。
Quest KACE SMAユーザーが今すぐ確認すべきセキュリティチェックリスト
ご自身の組織がこの脅威に晒されていないかを確認するため、以下のチェックリストを活用してください。
- 現在運用しているQuest KACE SMAのバージョンは最新ですか?(特に修正済みバージョン以降ですか?)
- SMAインスタンスはインターネットに直接公開されていませんか?(ファイアウォールやVPNでアクセスが制限されていますか?)
- すべての管理者アカウントに多要素認証(MFA)が適用されていますか?
- SMAシステムおよび関連するネットワークデバイスのログを定期的に監視し、不審なログインやコマンド実行がないか確認していますか?
- 不審な追加管理者アカウントが作成されていないか、定期的に確認していますか?
- バックアップシステム(Veeam, Veritasなど)やドメインコントローラーへのRDPアクセスが厳重に管理・監視されていますか?
- インシデントレスポンス計画は策定されており、緊急時に対応できる体制が整っていますか?
まとめ
Quest KACE Systems Management Appliance (SMA)の認証バイパス脆弱性CVE-2025-32975は、CVSSスコア10.0という最大深刻度で、現在進行形で悪用が確認されている極めて危険な脆弱性です。この脆弱性を放置することは、管理者アカウントの乗っ取り、リモートコード実行、そして最終的には企業ネットワーク全体の掌握や機密データ窃取といった壊滅的な被害につながる可能性があります。
すべてのQuest KACE SMAユーザーは、直ちに最新のセキュリティパッチを適用し、SMAインスタンスをインターネットから隔離するなどの緊急対策を講じる必要があります。サイバーセキュリティは継続的な取り組みであり、常に最新の脅威情報を把握し、適切な防御策を講じることが、組織の安全を守る上で不可欠です。システム管理ツールを狙った攻撃は今後も増加する傾向にあるため、多層的な防御戦略と迅速な対応体制の構築が、これまで以上に重要となります。