IBM Asperaに2件のBOF脆弱性 CVE-2026-8175/8179、放送・大企業のファイル転送基盤に即パッチを
IBMが2026年5月21日、放送局・メディア・金融大手で使われる超高速ファイル転送製品Aspera HSTS/HSTEに2件の重大脆弱性CVE-2026-8175(ヒープBOF、CVSS9.8)とCVE-2026-8179(スタックBOF、CVSS8.8)を開示。認証不要RCEの経路を含む。
目次
IBMが2026年5月21日、放送局・メディア・金融大手で使われる超高速ファイル転送製品Aspera HSTS/HSTEに2件の重大脆弱性CVE-2026-8175(ヒープBOF、CVSS9.8)とCVE-2026-8179(スタックBOF、CVSS8.8)を開示。認証不要RCEの経路を含む。
IBMが2026年5月21日、世界中の放送局・映像制作・金融機関で使われている超高速ファイル転送製品「Aspera」に、2件の重大なバッファオーバーフロー脆弱性CVE-2026-8175(CVSS 9.8)とCVE-2026-8179(CVSS 8.8)があることをセキュリティ速報で開示しました。
影響を受けるのは、IBM Aspera High-Speed Transfer Server(HSTS)と Aspera High-Speed Transfer Endpoint(HSTE)のv3.7.4からv4.4.7 Fix Pack 1まで。どちらも社内・社外との大容量データ転送基盤として広く使われており、特にFOXスポーツや大手放送ネットワークが映像素材のやり取りに採用しています。
問題が起きているのは、Asperaに含まれるasperahttpdという小さなHTTPサーバ部品です。9.8の方は認証なしで攻撃可能で、サービス停止だけでなく認証回避や任意コード実行まで届くおそれがあると、IBMが認めています。
報告者はオランダのセキュリティ研究者Yannik Marchand氏(GitHub: Kinnay)。Securanceに所属するエシカルハッカーで、国際CTF複数優勝の実績があります。
放送局のマスターから未公開作品を盗み出す人間像
FASPという独自プロトコルで毎秒数GBが流れる転送路は、攻撃者の側から眺めると「巨大な金庫の搬入口」のような場所です。asperahttpd を踏むことで何が起きるかは、その搬入口の鍵を誰が欲しがっているかを見れば自然と浮かび上がります。
この鍵に値段を付けるのは、技術的興味で動く層ではありません。顔ぶれは、未公開ドラマや劇場公開前作品のマスターを抜き出して公開リーク付きで身代金を要求するランサムウェアアフィリエイト、放送・映画スタジオへの足場だけを切り売りする初期アクセスブローカー、海外VFXハウスとのデイリー素材を狙う北朝鮮系の外貨稼ぎ部隊、夜間バッチで流れる金融取引明細を読み取りたい産業スパイ、製薬会社の臨床試験ローデータを欲しがる中国系APT、そして退職時に素材を持ち出したい元従業員といった層です。彼らが本気で欲しいのは平時のファイルサーバではなく、転送中だからこそ一点に集中している価値のかたまり、すなわち編集の最終マスター、決済明細、ゲノムデータ、衛星画像の差分です。asperahttpd のヒープを踏むと、そのFASP経路の入口に root 相当で居座られ、転送される素材がまるごと攻撃者側にコピーされていきます。転送中のデータは、暗号化された保管庫よりもむしろ無防備に流れています。
初期アクセスブローカーの仕事の組み立て方を考えると、CVE-2026-8175 はちょうど商品化しやすいサイズの穴です。認証なしで root へ抜ける一発、安定して再現するワンショット、そして放送・金融・製薬という「身代金を払う体力のある」業種に偏在するインストールベース。この三拍子が揃うため、RCE そのものを使うのではなく入口の鍵をダブル恐喝グループに転売するビジネスが成立します。落ちた先で起きるのは、暗号化と公開リークの二段構えです。放送業界では、未公開作品の数分の流出だけで興行収入と契約交渉が崩れ、製薬では治験データ漏洩が承認スケジュールごと吹き飛ばします。2023年に欧州放送連合がAspera脆弱性を業界への警告と位置付けたのは、この恐喝構造を見越したからでした。
技術文書上では CVSS 9.8 が深刻度の上限を意味します。ただ、放送局・金融機関・製薬会社にとって痛むのはサーバが落ちることではなく、公開前作品の脚本付きマスター、決済の生明細、臨床試験のローデータ、衛星画像といった「平時には決して一箇所に集まらない高価値資産」が、転送中の一瞬を狙って競合とランサム集団の手元に渡ることです。
IBM Asperaとは何か
Asperaは、もともと米Aspera社が開発し、2014年にIBMに買収された大容量ファイル転送ソフトウェアです。通常のTCPでは大陸間で数MB/秒しか出ないようなネットワークでも、独自プロトコル「FASP」を使って数GB/秒級の転送速度を出せるのが特徴で、IBMの主力転送基盤として位置付けられています。
主な利用シーンは次の通りです。
- 放送局が拠点間で映像素材(数十GBの非圧縮動画)を交換する
- 映画スタジオが海外のVFXハウスとデイリー素材をやり取りする
- 金融機関が取引データのバッチを夜間に大量転送する
- 製薬・科学技術系が遺伝子解析データなどの巨大ファイルを共有する
- 政府機関が地理情報や衛星画像を国際的に配信する
2023年には欧州放送連合(EBU)が「Asperaの脆弱性は放送業界への警告だ」と警鐘を鳴らす解説を出すなど、放送インフラを支える基盤として欠かせない反面、攻撃面としてもたびたび注目されてきた製品でもあります。
今回の2件は、そのasperahttpd(Asperaの管理用HTTPサーバ)に存在します。利用組織は管理画面やHTTPベースの認証窓口として常時このコンポーネントを動かしており、ネットワーク越しに直接アクセスできる位置にあるのが問題を深刻にしています。
CVE-2026-8175 ヒープバッファオーバーフロー(CVSS 9.8、認証不要)
2件のうち、より深刻な方がこちらです。NVDの分類はCWE-122(ヒープベースのバッファオーバーフロー)。asperahttpdに対して特殊な構造のHTTPリクエストを送ると、ヒープ領域(プログラムが動的にメモリを確保している場所)の境界を超えてメモリが書き換わってしまいます。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-8175 |
| CVSS v3.1 | 9.8(緊急) |
| CVSSベクトル | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 脆弱性の種類 | CWE-122 ヒープBOF |
| 認証要否 | 不要 (PR:N) |
| 想定される影響 | サービス停止 認証バイパス 任意コード実行 |
| 影響バージョン | HSTS / HSTE v3.7.4 〜 v4.4.7 Fix Pack 1 |
ヒープバッファオーバーフローは、書き換えられたメモリの内容によって攻撃者がプログラムの実行経路を乗っ取れる古典的な脆弱性です。IBMの速報は影響として「サービス停止、認証回避、任意コード実行」の3点を順に挙げており、特に最後の任意コード実行は、ファイル転送基盤のサーバ自体に攻撃者の侵入を許す致命的な結果につながります。
放送局や金融機関のAsperaサーバは、業務性質上インターネット側に晒されているケースが少なくありません(取引先からの素材受け取り、海外拠点との交換など)。CVE-2026-8175は事前認証を必要としないため、サーバのURLとポート番号さえ把握されれば直接攻撃が成立する構造です。
CVE-2026-8179 スタックバッファオーバーフロー(CVSS 8.8、認証あり)
こちらは同じasperahttpdのスタック領域(関数呼び出しの一時データを置く場所)で起きるバッファオーバーフローです。NVDの分類はCWE-121。CVSSは8.8でCVE-2026-8175より低いものの、これは「認証済みのユーザーが攻撃する必要がある」分の調整であり、認証通過後の挙動としては同じく任意コード実行まで届きます。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-8179 |
| CVSS v3.1 | 8.8(高) |
| CVSSベクトル | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| 脆弱性の種類 | CWE-121 スタックBOF |
| 認証要否 | あり (PR:L=低権限ユーザーで成立) |
| 想定される影響 | 任意コード実行 |
| 影響バージョン | HSTS / HSTE v3.7.4 〜 v4.4.7 Fix Pack 1 |
「認証あり」が要件になっているため一見影響は小さく見えますが、Asperaは複数拠点・複数社の関係者にアカウントを発行して使う製品です。社外パートナーや派遣スタッフのアカウントが侵害された場合、その低権限アカウントを起点にサーバそのものへの権限昇格を許す経路になります。Aspera管理者側からすれば「外部アカウントを発行している先の数だけ、攻撃者がCVE-2026-8179の起点を持ちうる」ことになります。
CVE-2026-8175とCVE-2026-8179は同じコンポーネント(asperahttpd)に2種類のBOFが見つかったかたちであり、IBMの単一ブリテンに統合されています。パッチは2件分まとめて配布される形になります。
影響範囲と修正バージョン
影響を受ける製品とバージョンは次の通りです。
| 製品 | 影響バージョン | 修正・対処 |
|---|---|---|
| Aspera High-Speed Transfer Server (HSTS) | v3.7.4 〜 v4.4.7 Fix Pack 1 | IBM公式速報の 最新Fix Packへ更新 |
| Aspera High-Speed Transfer Endpoint (HSTE) | v3.7.4 〜 v4.4.7 Fix Pack 1 | IBM公式速報の 最新Fix Packへ更新 |
| Aspera Desktop Client | 記載なし(サーバ側コンポーネントが対象) | サーバ側更新で連動 |
| Aspera Connect | 記載なし | サーバ側更新で連動 |
v3.7.4まで遡る古いバージョンも含まれており、社内で長年安定動作しているからとアップグレードを後回しにしていた組織が影響を受ける可能性が高い構造です。具体的な修正Fix Pack番号はIBM公式のセキュリティブリテンに従って適用してください。
いますぐやるべきこと
1. IBM公式速報のFix Packを適用。 上記のIBMセキュリティ速報7273615に従い、HSTS / HSTEを最新Fix Packまで上げます。本番稼働中のAsperaサーバを止められない事情がある場合でも、CVE-2026-8175が認証不要であることを踏まえると、計画停止枠を最優先で確保すべき水準の脆弱性です。
2. すぐにパッチを当てられない場合は、ファイアウォール側でasperahttpdのポート(既定で9091)を信頼済みIPに制限。 取引先からのアクセスを受ける場合は、VPNやIPホワイトリストの導入で攻撃面を狭めます。インターネット側に開放しているサーバは特に優先度を上げる必要があります。
3. アクセスログの過去30日分を遡って点検。 asperahttpdに対する不審な大量HTTPリクエスト、特に異常に長いURLパスやヘッダを伴うアクセスがないか確認します。バッファオーバーフロー攻撃の試行は、しばしば不自然に長い文字列をパラメータに含めるパターンとして痕跡を残します。
4. 外部パートナー用の低権限アカウントを棚卸し。 CVE-2026-8179は認証あり経路ですが、社外関係者向けに発行している転送用アカウントが起点になり得ます。利用実態のないアカウントは停止、生きているアカウントもパスワード変更とMFA有効化を進めます。
5. 取引先・委託先のAsperaサーバについて状況確認を依頼。 自社のAsperaサーバを守っても、データを受け渡している相手側が侵害されればその経路で素材が抜かれます。放送・映像系の素材交換チェーン全体としての対応が必要になります。
CISA KEVへの登録状況とハブ記事連動
2026年5月27日時点で、CVE-2026-8175およびCVE-2026-8179はCISAのKEVカタログにはまだ登録されていません。ただし、過去のIBM Aspera Faspex脆弱性(CVE-2022-47986)は公開からわずか数週間でランサムウェアグループに悪用され、CISA KEVに即座に登録された経緯があります。今回の2件もファイル転送基盤として攻撃価値が極めて高いため、悪用観測次第で短期間でKEV入りする可能性があります。
本サイトでは、現在攻撃中とCISAが認定したCVEの一覧と修正期限をCISA KEVダッシュボード(日本語版)で随時更新しています。Aspera関連を含めた連邦機関向け修正期限は、日本企業にとっても「米国側がリスク高と認定した期限」のベンチマークとして参照価値があります。
参照元
- ▸ NVD - CVE-2026-8175 Detail
- ▸ NVD - CVE-2026-8179 Detail
- ▸ IBM Security Bulletin - Multiple vulnerabilities in Aspera applications (node/7273615)(2026年5月21日)
- ▸ CVE.org - CVE-2026-8175 Record
- ▸ CVE.org - CVE-2026-8179 Record
- ▸ IBM Aspera 製品ページ
- ▸ EBU Technology & Innovation - The Aspera vulnerability: a cautionary tale for the broadcast industry
- ▸ Yannik Marchand - LinkedIn(脆弱性報告者)
- ▸ CISA - Known Exploited Vulnerabilities Catalog

堀川 慎
Backend Engineer / AWS / Django / Go