企業の基幹バッチを動かす「BMC Control-M」にパスワード不要でサーバーを乗っ取られる脆弱性 CVE-2026-10539、9.0.21.300へ更新を
企業が夜間の給与計算や決済などの基幹バッチ処理を自動で回す運用ソフト「BMC Control-M」に深刻な脆弱性。一定の条件下で、パスワードなしの攻撃者がサーバー上で不正な命令を実行し乗っ取れる恐れがある(CVE-2026-10539、深刻度9.0)。対象は中核のControl-M/Serverの9.0.21.200まで。修正版9.0.21.300へ更新を。
目次
企業が夜間の給与計算や決済などの基幹バッチ処理を自動で回す運用ソフト「BMC Control-M」に深刻な脆弱性。一定の条件下で、パスワードなしの攻撃者がサーバー上で不正な命令を実行し乗っ取れる恐れがある(CVE-2026-10539、深刻度9.0)。対象は中核のControl-M/Serverの9.0.21.200まで。修正版9.0.21.300へ更新を。
多くの企業が、夜間の給与計算や決済、データ集計といった基幹の自動処理(バッチ処理)をまとめて動かすために使う運用ソフト「BMC Control-M(コントロールエム)」に、深刻な脆弱性が見つかりました。一定の条件下で、パスワードを持たない攻撃者がサーバー上で不正な命令を実行し、そのサーバーを乗っ取れる恐れがあります。共通脆弱性番号は CVE-2026-10539、深刻度は10点満点でCVSS 9.0(新しい基準のCVSS 4.0では9.5)です。
問題があるのは、Control-Mの中核でスケジュールを管理する部品「Control-M/Server」です。米国立標準技術研究所(NVD)の説明によれば、サーバーが受け取る通信命令で利用者から送られた入力の点検(フィルタリング)が不十分で、条件がそろうと認証を経ずに命令を実行できてしまいます。開発元のBMCは修正済みのバージョン(9.0.21.300)を用意しており、公式のサポート情報で案内しています。基幹の処理を束ねるソフトだけに、企業のIT運用担当者は早めの確認が必要です。
| 項目 | 内容 |
|---|---|
| 脆弱性番号 | CVE-2026-10539 |
| 対象 | BMC Control-M/Server (基幹バッチの運用管理ソフト) |
| 種類 | 認証回避+不正な命令の実行 (入力の点検不足) |
| 何が起きるか | パスワードなしでサーバー上の命令実行 →サーバーの乗っ取り |
| 深刻度(CVSS) | 9.0(v3.1)/ 9.5(v4.0) |
| 影響する版 / 修正版 | 9.0.20.x〜9.0.21.200 / 9.0.21.300で修正 |
| 悪用状況 | 実際の悪用報告なし(本記事公開時点) |
※深刻度(CVSS)は10点満点で危険度を示す指標です。この欠陥は米政府機関CISAが実際の攻撃を確認した悪用済みリスト(KEV)には登録されておらず、攻撃コードの公開も確認されていません。ただしCVSSの評価上「一定の条件」が必要とされる点も含め、内容を正確に押さえておきます。
この欠陥は誰に、どんな被害をもたらすのか
この穴を狙うのは、すでに社内ネットワークへ入り込み、そこから企業の中枢へ侵入を広げようとする攻撃者です。Control-M/Serverは、インターネットに直接さらすタイプの製品ではなく、企業内ネットワークの奥で基幹処理を束ねている、いわば「心臓部」に近い場所に置かれます。そのため、外から一発で狙われるというより、別の入口から社内に侵入した攻撃者が、次の一手として狙う踏み台になりやすいのが特徴です。悪意ある内部関係者も同様に危険です。
サーバーに通信が届く位置まで来た攻撃者は、細工した通信命令を送るだけで、パスワードを入力せずにサーバー上で不正な命令を実行できます。Control-Mは業務システムのバッチ処理を動かす権限を持っているため、ここを取られると影響は一気に広がります。
被害の本質は、企業の「動きを支える神経」を握られることです。夜間の給与計算・口座処理・在庫更新・データ連携といった基幹バッチを止められたり、こっそり書き換えられたりすれば、業務全体が混乱します。さらに、Control-Mは多数の実行サーバーとつながっているため、そこを起点に他のシステムへの横展開や、保存された認証情報の窃取、ランサムウェア(データを人質に身代金を要求する攻撃)の足がかりに使われる恐れもあります。基幹の運用ソフトは、狙われると被害が面で広がる典型です。
Control-Mとは何か、自分の環境は対象か
Control-Mは、BMCが提供するジョブの自動実行・スケジュール管理(ワークロード自動化)のソフトです。「毎晩0時にこの処理を動かし、成功したら次の処理へ、失敗したらやり直す」といった、大量の定型処理の段取りを一元管理します。メインフレームの古いバッチから、クラウド上の新しい処理まで幅広くつなげられるため、金融・製造・通信・公共などの大企業で、基幹業務の運用に広く使われています。BMCの日本向け製品ページでも、こうした用途が説明されています。
Control-Mは大きく3つの部品からできています。今回問題になっているのがどれかを、次の表で確認してください。
| 部品 | 役割 | 今回の対象 |
|---|---|---|
| Control-M/Server | スケジュールを管理する中核 | ◎ 対象(9.0.20.x〜9.0.21.200) |
| Control-M/Agent | 各サーバーで実際にジョブを動かす | 本件(CVE-2026-10539)では対象外 |
| Control-M/EM | 全体を見る管理画面(GUI) | 本件では対象外 |
対象はControl-M/Serverのバージョン9.0.20.x〜9.0.21.200で、それ以前のサポートが終わった版も影響を受ける可能性があるとされています。自分の環境が該当するかは、稼働中のControl-M/Serverのバージョンを確認すればわかります。判断に迷うより、まず修正版へ更新してしまうのが確実です。
脆弱性の中身
Control-M/Serverは、外部の部品とやり取りするために、いくつかの通信命令を受け付けます。今回の欠陥は、その命令を処理する際に、送られてきた入力を十分に点検(フィルタリング・無害化)していなかったことにあります。分類は「主要な弱点による認証回避」(CWE-305)で、本来なら認証を通らなければ実行できないはずの操作が、条件次第で認証なしに通ってしまいます。NVDの説明では「一定の条件下で(under certain conditions)」と付記されており、どんな構成でも常に成立するわけではありません。
深刻度の評価にもこの点は表れています。CVSS 3.1のスコアは9.0と高い一方、攻撃の難しさ(攻撃条件の複雑さ)は「高い」と評価され、4.0の評価でも「攻撃には特定の前提が必要」とされています。つまり「パスワード不要で狙える」半面、成立には環境や条件が絡むということです。とはいえ、認証なしで基幹サーバー上の命令実行に至りうる欠陥であることに変わりはなく、影響の大きさから優先度の高い対応が求められます。攻撃の具体的な手順やPoC(実証コード)は公開されていません。
いま何をすべきか
最優先は修正版 9.0.21.300 への更新です。BMCはこのバージョンで問題を解消しており、影響を受ける9.0.21.200以前を使っている場合は、計画的に適用を進めてください。基幹バッチを止められない事情はあると思いますが、影響の大きさを踏まえ、検証環境での確認を経て早期の適用を目指すのが安全です。
更新までの間の暫定策として、次の点が有効です。第一に、Control-M/Serverの通信ポートへ到達できる範囲を絞ること。運用に必要な機器・セグメントからのみアクセスできるよう、ネットワークで制限します。第二に、コンポーネント間の通信を相互認証(相互TLS)で守るなど、BMCが推奨するセキュリティ設定を見直すこと。第三に、不審な通信やジョブの改変がないかログを監視すること。Control-Mは企業内部の深い位置にあるため、外周だけでなく内部からのアクセスにも目を配る必要があります。同種のエンタープライズ製品では、IBM Db2やAdobe ColdFusionでも同様に、公開範囲の見直しと迅速な更新が被害の分かれ目になっています。
まとめ
CVE-2026-10539は、企業の基幹バッチを束ねるBMC Control-Mの中核部品「Control-M/Server」にあった欠陥です。通信命令の入力点検が甘く、一定の条件下では、パスワードを持たない攻撃者がサーバー上で不正な命令を実行し、サーバーを乗っ取れる恐れがあります。深刻度はCVSS 9.0(4.0では9.5)で、影響を受けるのは9.0.20.x〜9.0.21.200、修正版は9.0.21.300です。
現時点で実際の悪用は報告されておらず、攻撃には条件も絡みます。とはいえControl-Mは企業活動の「動きを支える神経」であり、ここを取られたときの被害は業務全体に及びます。修正版への更新を計画し、あわせて到達範囲の制限とコンポーネント間通信の保護を見直しておくことが、確実な備えになります。
よくある質問
Control-Mを使っていますが、必ず危険なのですか?
対象はControl-M/Serverのバージョン9.0.20.x〜9.0.21.200です。該当する場合は影響を受けます。ただしこの欠陥は「一定の条件下」で成立するとされ、どんな構成でも常に悪用できるわけではありません。とはいえ認証なしでサーバーの命令実行に至りうる重大な欠陥のため、修正版9.0.21.300への更新を強くおすすめします。
どのバージョンに上げればよいですか?
修正版の 9.0.21.300 へ更新してください。影響を受けるのは 9.0.20.x〜9.0.21.200 と、それ以前のサポート終了版の可能性があるバージョンです。詳細はBMCの公式サポート情報で確認できます。
Control-M/AgentやEnterprise Managerも対象ですか?
この脆弱性(CVE-2026-10539)が対象としているのはControl-M/Serverです。Control-M/AgentやEnterprise Manager(EM)は本件の対象ではありません。ただしControl-Mは複数の脆弱性修正が続いているため、各部品とも公式のサポート情報にもとづき最新の状態に保つことをおすすめします。
すでに悪用されていますか?
本記事公開時点で、実際の攻撃に使われたという報告や、米CISAの悪用済みリスト(KEV)への登録、攻撃コード(PoC)の公開は確認されていません。とはいえ影響の大きい欠陥のため、悪用が広がる前に更新しておくのが安全です。
更新履歴
- ▸2026年7月1日:初版公開(脆弱性番号の公開、およびBMCの公式サポート情報を受けて作成)。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go