ラベル印刷ソフトBarTenderに乗っ取りの脆弱性 CVE-2026-25550
工場や倉庫、物流でラベルやバーコードの印刷に広く使われるソフトBarTenderの古い世代(2010・2016・2019)に、深刻度9.8の脆弱性CVE-2026-25550が見つかりました。ログインなしで遠隔からパソコンを乗っ取られ、最も強い権限でプログラムを実行される恐れがあります。最新版への移行と通信遮断を。
堀川 慎
Backend Engineer / AWS / Django / Go
工場や倉庫、物流でラベルやバーコードの印刷に広く使われるソフトBarTenderの古い世代(2010・2016・2019)に、深刻度9.8の脆弱性CVE-2026-25550が見つかりました。ログインなしで遠隔からパソコンを乗っ取られ、最も強い権限でプログラムを実行される恐れがあります。最新版への移行と通信遮断を。
工場や倉庫、物流の現場で、商品ラベルや出荷伝票のバーコードを刷るために世界中で使われているソフト「BarTender(バーテンダー)」の古い世代に、深刻度が10点満点中9.8と評価された脆弱性が見つかりました。CVE-2026-25550です。対象はBarTender 2010・2016・2019という、いずれも数年前のバージョンです。
怖いのは、ログインも一切なしで、ネットワーク越しに対象のパソコンを乗っ取られてしまうことです。しかも乗っ取りに使われる部品はWindowsの最も強い権限(システム権限)で動いているため、入り込まれた時点でそのパソコンは丸ごと攻撃者のものになります。脆弱性を見つけたセキュリティ企業VulnCheckは2026年6月4日に技術情報を公開しました。すでにラベル印刷に使われている端末ほど、確認が必要です。
何が起きるのか、まず一言で
今回の問題をひとことで言うと、「誰でも話しかけられる受付窓口が、相手を確かめずに何でも実行してしまう」状態でした。古いBarTenderには、ネットワーク経由で命令を受け付ける裏方のサービス(BarTender System Service)があり、パソコンの7375番という通信口(ポート)で待ち受けています。この窓口は本来、社内の連携用のものでしたが、相手が誰かを一切確認せず、送られてきたデータをそのまま信じて処理していました。
攻撃者はこの窓口に細工したデータを送り込むだけで、対象のパソコン上で好きなプログラムを実行できます。VulnCheckの解説によると、できることはプログラムの実行だけにとどまらず、ファイルの読み書きや、Windowsのログイン情報(NTLMv2と呼ばれる認証データ)の盗み出しにも及びます。盗んだログイン情報は、同じ社内ネットワークの他のサーバーへ侵入するための足場になります。
CVE-2026-25550:本人確認なしの窓口から、最高権限での乗っ取りへ
正式な分類は、CWE-306(重要な機能に本人確認がない)とCWE-502(信用できないデータの危険な読み込み)の合わせ技です。米国の脆弱性データベース(NVD)はCVSS 3.1で9.8、新しい基準のCVSS 4.0でも9.3という高い深刻度を付けました。攻撃に必要な条件はネットワーク経由でのアクセスだけで、ログインも利用者の操作もいりません。受付窓口を動かしているサービスがWindowsの最高権限(NT AUTHORITY\SYSTEM)で動いているため、乗っ取られた瞬間にそのパソコンの全権を奪われる、もっとも避けたいタイプの欠陥です。
そもそもBarTenderは何をする道具なのか
BarTenderは、米国のSeagull Scientific(シーガル・サイエンティフィック)社が作る、ラベルやバーコード、RFIDタグ、会員カードなどをデザインして印刷するためのソフトです。決まった書式のラベルを大量に、かつ正確に刷れることから、製造業の出荷ラベル、倉庫の在庫管理、食品や医薬品の表示、小売の値札づくりなど、ものを作って運ぶ現場で広く使われています。日本にも販売・サポートの窓口があり、国内の工場や物流センターでの導入例も少なくありません。
こうした業務ソフトの特徴は、一度動き出すと長く使われ続けることです。ラベルの書式やプリンターとの設定を作り込んでいるため、「動いているものは触らない」という判断で、何年も前のバージョンをそのまま運用している現場は珍しくありません。今回問題になったBarTender 2010・2016・2019は、まさにそうした「現役で動き続けている旧版」にあたります。便利さゆえに更新が後回しにされやすい点が、脆弱性の影響を長引かせます。
問題の中心にあるのは、BarTenderに付属する「BarTender System Service」という裏方のプログラムです。複数のパソコンでラベル印刷を連携させるために、ネットワーク越しに命令をやり取りする役割を担っており、利用者が意識しないところでパソコンの7375番ポートを開いて待ち受けています。普段は便利な連携の仕組みですが、その受付に本人確認がなかったことが、今回そのまま侵入口になりました。
概要を1分で
細かい説明に入る前に、要点を表にまとめます。確認すべき点はシンプルで、使っているBarTenderが2010・2016・2019のいずれかか、そして7375番ポートが外やほかの端末から触れる状態になっていないかの2つです。
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-25550 |
| 対象ソフト | BarTender 2010 / 2016 / 2019 (ラベル・バーコード印刷ソフト) |
| 深刻度 | 9.8 / 10(Critical・CVSS 3.1) 9.3(CVSS 4.0) |
| 種別 | 本人確認の欠落(CWE-306)+ 危険な読み込み(CWE-502)→ 任意コード実行 |
| 攻撃の条件 | ネットワーク経由のみ (ログイン・利用者操作とも不要) |
| 侵入口 | TCP 7375番ポート (BtSystem.Service.exe) |
| 実行権限 | SYSTEM(Windows最高権限) |
| 悪用状況 | KEV未登録・実証コード未公開 (2026年6月5日時点) |
「外から渡されたデータを、確かめずにそのまま読み込んでしまう」タイプの欠陥は、今回が特別というわけではありません。最近では通信基盤Apache MINAの危険な読み込みによるRCEが同じ仕組みで、ファイル共有Sambaの認証なしRCEも「本人確認の抜け」という点で重なります。違うのは、BarTenderの場合その舞台が止められない製造・物流の現場である点です。
ラベルを刷るだけの端末が、工場の最高権限を握る入口に変わるとき
「9.8」という数字を見ても、ラベル印刷のソフトが乗っ取られて何が困るのか、ピンとこないかもしれません。だからこそ、この穴を実際に誰が何のために狙うのかを先に描いておきます。BarTenderが動いているのは、ただの事務用パソコンではなく、製造ラインや出荷場の真横で止まることが許されない端末です。そこを最高権限で握れるとなれば、群がってくる相手ははっきりしています。
狙ってくるのは、工場や物流倉庫を狙ってランサムウェアを撒く犯罪グループ、インターネットに飛び出した7375番ポートを自動で探し回るスキャンボットの運用者、そして取引先や保守業者を装って工場のLANに入り込んだ侵入者です。彼らが手に入れるのは抽象的な「データ」ではありません。最高権限で動くWindows端末そのもの、同じネットワークにつながった生産管理システムやファイルサーバーへの足場、盗み出したWindowsのログイン情報、そして出荷ラベルの中身を書き換える力です。7375番ポートに細工したデータを投げ込まれた瞬間、ラベルを刷るだけだった端末が、工場のWindowsを丸ごと握る入口に化けます。
技術的に見ると、この脆弱性が製造・物流の現場と相性が悪いのは、被害が1台で終わらないからです。乗っ取られた端末で盗まれたログイン情報は、社内の他のサーバーへ正規の顔で入り込むための鍵になります。攻撃者はそこから生産管理システムや基幹サーバーへ横に広がり、ランサムウェアで全体を人質に取ったり、出荷ラベルのバーコードを書き換えて誤出荷やトレーサビリティ(追跡記録)の破壊を引き起こしたりできます。ラインが止まれば1時間単位で損失が積み上がり、誤った表示で医薬品や食品が出回れば、回収と信頼失墜という別の損害が待っています。
「CVSS 9.8」というラベルは、技術的な深刻度の天井を示しているだけです。製造や物流の現場にとって本当に失われるのは、止められないはずの生産ラインの稼働、出荷の正確さ、そして社内ネットワーク全体の安全です。地味なラベル印刷の端末が、工場の心臓部への一番の近道になり得る——その事実こそが、数字よりも切実なはずです。
なぜ起きたのか、技術的に見ると
VulnCheckの勧告によると、根本原因は、BarTender System Serviceが使っている古い通信の仕組み「.NET Remoting(ドットネット・リモーティング)」の設定にあります。これはWindowsアプリ同士がネットワーク越しにやり取りするための、現在では非推奨となった旧式の方式です。問題のサービスは、この窓口を「相手を確認しない(認証なし)」かつ「送られてきたデータをどんな形でも復元する(TypeFilterLevelがFull)」という、もっとも危険な設定で開いていました。
この「送られてきたデータをそのまま復元する」処理が、危険な読み込み(デシリアライゼーション)です。攻撃者は、復元されると勝手にプログラムを呼び出すように仕込んだデータを作り、7375番ポートに送りつけます。サービスはそれを疑わずに復元し、結果としてサービスの権限(SYSTEM)で攻撃者の命令が走ります。受付窓口の中身は、BarTender 2016では「BarTenderSystem」、2019では「DataServiceSingleton」という名前の入口として公開されていました。本人確認がないため、その入口を知っているだけで誰でも話しかけられた、という構図です。
この「.NET Remotingの認証なし窓口」は、BarTenderだけの問題ではありません。発見元のVulnCheckは、同じ仕組みの欠陥をカード発行システムEntrust IFIや運用管理ツールBarracuda RMMでも相次いで報告しており、古いWindows業務ソフトに広く眠っている地雷であることが分かってきています。外から渡された定義をそのまま実行してしまう構図は、AI開発ツールLangflowの認証なしRCEとも地続きです。実証コード(PoC)は2026年6月5日時点で公開されていませんが、デシリアライゼーション攻撃は手口がよく知られているため、油断はできません。
影響を受けるバージョンと、対処の状況
VulnCheckの勧告が示す影響範囲は次のとおりです。いずれもメジャーバージョンの名前で呼ばれる古い世代で、現行のサポート対象版(BarTender 2022以降)とは構造が異なります。
| バージョン | 影響範囲 | 対応 |
|---|---|---|
| BarTender 2010 | 10.1 R4 以前 | 現行版へ移行+7375番遮断 |
| BarTender 2016 | R9 以前 | 現行版へ移行+7375番遮断 |
| BarTender 2019 | R10 以前 | 現行版へ移行+7375番遮断 |
| BarTender 2022 以降 | 対象外(構造が異なる) | 最新の保守リリースを維持 |
注意したいのは、勧告の時点で旧版向けの修正パッチが明示されていない点です。対象の2010・2016・2019はいずれもメーカーのサポートが先細りの古い世代であり、根本的な解決はサポート対象の現行版(BarTender 2022以降)への移行になります。すぐに移行できない場合は、後述する通信の遮断で被害口を塞ぐのが現実的な応急処置です。自分の環境のバージョンは、BarTenderのヘルプメニューや、Windowsの「プログラムの追加と削除」の一覧から確認できます。
今すぐやるべきこと
最優先は、攻撃の入口である7375番ポートを外部やほかの端末から触れないようにすることです。具体的には、Windowsのファイアウォールやネットワーク機器で、TCP 7375番への外部からの接続を遮断します。複数台でのラベル印刷の連携にこのサービスを使っていない場合は、Windowsの「サービス」管理画面から「BarTender System Service」(BtSystem.Service.exe)を停止・無効化してしまうのが最も確実です。連携で使っている場合でも、印刷を行う端末同士の閉じたネットワークに限定し、外部やオフィスの一般ネットワークからは到達できないようにしてください。
そのうえで、根本対策としてサポート対象の現行版への移行を計画します。あわせて、すでに踏まれていないかの点検も必要です。7375番ポートへの見覚えのない接続の記録、ラベル印刷端末上での不審なプロセスの起動、想定外のアウトバウンド通信がないかを確認します。万一悪用されていた場合、Windowsのログイン情報がすでに抜かれている前提で、影響範囲のアカウントのパスワード変更(ローテーション)と、社内ネットワーク内での横展開の痕跡の確認まで行うのが安全です。盗まれた認証情報が次の侵入の踏み台に転用されていく流れは、部品やソフトを経由した攻撃の連鎖とも地続きです。なお本脆弱性は2026年6月5日時点でCISAの「悪用が確認された脆弱性カタログ(KEV)」には登録されていませんが、登録を待つ理由はありません。
自分の環境の危険度チェック
どれくらい急いで対応すべきかを素早く見極めるための観点を、危険度の高い順に並べます。更新作業の優先度を決める助けにしてください。
| あなたの状況 | 危険度の目安 |
|---|---|
| 2010/2016/2019を使い 7375番が外部から届く | 最も危険(即遮断・移行) |
| 2010/2016/2019を使うが 社内の閉じた網に限定 | 要対処(内部経路に注意) |
| バージョンが不明 /長く更新していない | まず確認(旧版の疑い) |
| 2022以降を利用 /BarTender未使用 | 直接の影響なし |
注意したいのは、「社内ネットワークの中だけだから安全」とは言い切れない点です。今回の攻撃はネットワーク経由でログイン不要のため、取引先を装って入り込んだ侵入者や、別の経路で社内に足場を得た攻撃者からも成立します。外部公開していなくても、影響バージョンを動かしている限り、7375番の遮断と現行版への移行は必要です。とくにバージョンが分からない端末は、放置せず一度確認することを勧めます。
これまでの経緯
発見から公表までの流れを時系列で整理します。今回の脆弱性は、古いWindows業務ソフトに残る「.NET Remotingの認証なし窓口」を体系的に調べていたセキュリティ企業の研究から見つかりました。
← スワイプで移動
よくある質問
Q. 自分が使っているBarTenderのバージョンは、どう確認すればいいですか?
A. BarTenderを起動し、ヘルプメニューのバージョン情報から確認できます。起動できない場合は、Windowsの「設定」→「アプリ」(または「プログラムの追加と削除」)の一覧でBarTenderの名前とバージョンを確認してください。表示が「2010」「2016」「2019」のいずれかなら影響対象の可能性が高く、まず7375番ポートの状態を点検することを勧めます。
Q. 最新のBarTender(2022や2025)を使っています。影響はありますか?
A. 今回の勧告で対象とされているのは2010・2016・2019の旧世代です。現行のサポート対象版は構造が異なり、直接の対象にはなっていません。ただし業務ソフトは常に最新の保守リリースを当てておくのが安全なので、更新が止まっていないかは確認しておくとよいでしょう。
Q. すぐに新しいバージョンへ移行できません。最低限やるべきことは?
A. 攻撃の入口である7375番ポートを塞ぐのが最優先です。複数台での連携にBarTender System Serviceを使っていなければ、Windowsの「サービス」画面から停止・無効化するのが最も確実です。連携で使っている場合は、印刷端末同士の閉じたネットワークに限定し、外部や一般オフィス網から7375番に到達できないようファイアウォールで遮断してください。これは時間稼ぎであり、根本対策は現行版への移行です。
Q. ラベルを刷るだけの端末が乗っ取られても、大した被害はないのでは?
A. 問題のサービスはWindowsの最高権限(SYSTEM)で動いているため、乗っ取られるとその端末は全権を奪われます。さらにそこを足場に、同じネットワークの生産管理システムやファイルサーバーへ横展開され、ランサムウェアの起点や認証情報の窃取に使われる恐れがあります。「ラベル印刷だけ」の端末でも、工場ネットワークの内側にある以上、侵入口としての価値は高いと考えるべきです。
参照元
- ▸ VulnCheck Advisory - Seagull Software BarTender Unauthenticated RCE via .NET Remoting Service
- ▸ NVD - CVE-2026-25550 Detail
- ▸ MITRE CWE-502 - Deserialization of Untrusted Data
- ▸ MITRE CWE-306 - Missing Authentication for Critical Function
- ▸ Seagull Scientific(BarTender)公式サイト
- ▸ Seagull Scientific - BarTender ダウンロードポータル