ダッソー Teamwork Cloud / DELMIA の脆弱性 CVE-2026-7858・CVE-2026-9024、無認証RCEとXSS

ブログ/記事一覧/CATIAの設計データ共有サーバーに無認証侵入の脆弱性 CVE-2026-7858

ニュース本日更新

堀川慎

Backend Engineer / AWS / Django / Go

2026.06.018 min1 views

Share X Hatena LINE LinkedIn RSS

この記事のポイント

設計ソフトCATIAの開発元ダッソーが、設計データ共有サーバーTeamwork Cloudの無認証乗っ取りCVE-2026-7858（CVSS9.8）など2件を公表。自動車・航空など製造業が対象。影響範囲と今すぐの対策を整理します。

自動車や航空機の設計に使われるCATIAブランドの設計データ共有サーバー「Teamwork Cloud（Magic Collaboration Studio）」に、ログインなしで中身を乗っ取られる重大な欠陥が見つかりました。開発元のフランスのダッソー・システムズが2026年6月1日に公表したもので、危険度はCVSSという10点満点の深刻度指標で9.8（最高ランク）。整理番号はCVE-2026-7858です。

同じ日に、製造現場の作業手順を管理するDELMIA側でもう1件（CVE-2026-9024、CVSS 8.7）が公表されています。どちらも日本の製造業が設計・生産の基盤として広く使う製品です。本記事では、何が危ないのか、自社が影響を受けるのか、いま何をすべきかを順番に整理します。

2件の脆弱性の概要

まず、今回公表された2件を一覧にします。深刻なのは1件目の無認証の乗っ取り（CVSS 9.8）で、2件目は利用者を踏み台にする画面改ざん型の欠陥（CVSS 8.7）です。

整理番号	対象製品	欠陥の種類	深刻度	ログイン要否
CVE-2026-7858	Teamwork Cloud Magic Collaboration Studio	無認証の遠隔コード実行	9.8（緊急）	不要（誰でも）
CVE-2026-9024	DELMIA Service Process Engineer	保存型のクロスサイトスクリプティング	8.7（重要）	要（低権限）＋利用者操作

「遠隔コード実行」とは、攻撃者がネットワーク越しに自分の命令を相手のサーバー上で動かせてしまうこと。「無認証」はそれをログインなしでできるという意味で、両方そろうと最悪の組み合わせになります。詳しくは後ほど解説します。

設計図の棚に鍵がかかっていなかった、その先で消えるもの

この脆弱性で最も危ういのは、IDもパスワードも要らないという一点です。設計データ共有サーバーがインターネットや社内ネットに口を開けているだけで、産業スパイ、競合メーカーに雇われた請負ハッカー、ランサムウェアで身代金を稼ぐ犯罪集団が、ログイン画面を素通りして中に入り込めます。そこに積まれているのは、新型車のシャシー設計、航空機の構造モデル、防衛装備の仕様、まだ世に出ていない製品の図面と、それを誰がいつ変更したかの全履歴です。細工したデータをサーバーに送り込んだ瞬間、これらの設計資産がまるごと攻撃者の手元へ吸い出されてしまいます。

抜かれた設計データの行き先は、闇サイトの売買だけではありません。競合国の国営メーカーへ横流しされれば、十年がかりの研究開発が数か月で模倣され、市場で追い抜かれます。図面に紐づく協力会社の名前や連絡先は、取引先になりすました偽請求書詐欺の道具に変わります。さらにサーバーを乗っ取れば設計データの書き換えも自由になるため、寸法をわずかにずらした図面が現場へ流れ、リコール級の不良を仕込まれかねません。

後始末を背負うのは、サーバーを動かしていた製造業の情報システム部門です。設計データの流出は、取引先への通知や個人情報保護委員会への報告、防衛関連なら契約打ち切りや国の調査にまで及びます。CVSS 9.8という数字には、失った信用や奪われた技術優位という、後から金額に直せないコストは載りません。いま修正版を当てられるかどうかが、その重さを背負わずに済むかの分かれ目です。

そもそも「Teamwork Cloud」とは何をするサーバーか

ダッソー・システムズは、自動車・航空・宇宙・防衛などの設計に使われる3次元設計ソフト「CATIA」で知られるフランスの企業です。今回の主役であるTeamwork Cloudは、もともと「No Magic」というブランドの製品で、複数の技術者が大きな設計モデルを同時に編集・保存・版管理するための共有サーバーです。社外向けには「Magic Collaboration Studio（CATIA Magic）」という名前でも提供されています。

ここで扱うのは、いわゆる図面だけではありません。製品をどんな部品でどう組み立て、どんな性能を満たすかを構造化して管理する「モデルベースシステムズエンジニアリング（MBSE）」と呼ばれる手法で、Cameo Systems Modeler や MagicDrawで作ったモデルの集約先になります。つまり、企業の設計ノウハウが丸ごと集まる金庫のような存在です。

日本でも、アルゴグラフィックスやNTTデータエンジニアリングシステムズといった代理店を通じて、製造業や防衛・航空分野で導入されています。金庫の扉がログインなしで開く——というのが、今回の9.8という数字の意味です。

CVE-2026-7858：設計データ共有サーバーが無認証で乗っ取られる

1件目のCVE-2026-7858は、欠陥の分類でいうと「信頼できないデータの復元（デシリアライゼーション）」という種類です。プログラムは、外部から受け取ったデータをいったん元の形に組み立て直して使うことがありますが、その組み立て処理に細工をされると、データに紛れ込ませた命令がそのまま実行されてしまう——これがこの種の欠陥の正体です。

ダッソーのセキュリティ情報とNVD（米国の脆弱性データベース）によると、攻撃の条件は「ネットワークから到達できること」だけで、ログインもクリックなどの利用者操作も不要です（CVSSの内訳は AV:N/AC:L/PR:N/UI:N）。サーバーが攻撃者に届く位置にあれば、それだけで遠隔から任意の命令を実行され、サーバーごと制御を奪われる恐れがあります。

影響を受けるのは、Teamwork Cloud と Magic Collaboration Studio の 2022x から 2026x までの全リリースです。ダッソーは修正手順を会員向け技術文書（QA00000455613）で案内しており、対象バージョンを使っている組織はただちに修正版の適用が必要です。

CVE-2026-9024：製造現場の手順アプリに保存型の画面改ざん

2件目のCVE-2026-9024は、DELMIA Service Process Engineerという、製品の保守・サービス工程や作業手順書を3Dで作る役割の中の「Process Experience Studio」で見つかりました。欠陥の種類は「保存型クロスサイトスクリプティング」。攻撃者が入力欄などに不正なスクリプト（小さなプログラム）を仕込んで保存させ、その画面を開いた別の利用者のブラウザ上で勝手に動かす、というものです。

1件目と違ってログイン（低い権限でよい）と利用者がその画面を開く操作が必要なため深刻度は8.7にとどまりますが、それでも「重要」レベルです。仕込まれたスクリプトが動けば、ログイン中の利用者になりすまして操作されたり、画面に表示される情報を盗まれたりする恐れがあります。対象は3DEXPERIENCEの R2024x から R2026x。こちらも技術文書（QA00000456163）で対処方法が案内されています。

同じ「型」の欠陥は、過去に実際に悪用されている

今回の2件は、2026年6月1日時点で「すでに攻撃に使われた」という公的な報告（米CISAの悪用が確認された脆弱性リスト・KEVへの登録）はありません。だからといって油断できないのは、ダッソー製品で同じ「データ復元」型の欠陥が、つい最近まさに悪用されたばかりだからです。

2025年9月、製造実行システム「DELMIA Apriso」のCVE-2025-5086（CVSS 9.0）が、CISAのKEVリストに追加されました。これも今回と同じ「信頼できないデータの復元」で、セキュリティ企業SonicWallの分析では、細工したSOAPリクエストを送り込んでサーバー上で実行ファイルを起動させ、キー入力の記録や画面キャプチャを行うスパイウェアを送り込む攻撃が実際に観測されました。

さらに2025年10月には、同じくDELMIA AprisoのCVE-2025-6204とCVE-2025-6205の2件も悪用が確認されたとCISAが警告しています。CSO Onlineの報道が指摘するように、製造業の基盤システムは攻撃者にとって「設計・生産を止められる」高価値の標的です。今回の9.8が同じ道をたどる前に手を打てるかどうかが問われます。

自社が影響を受けるかの早見表

使っている製品とバージョンで、対応の優先度が変わります。下の表で自社の状況を確認してください。

製品	影響を受けるバージョン	対応の優先度	いま取るべき行動
Teamwork Cloud Magic Collaboration Studio	2022x〜2026x の全リリース	最優先（即時）	修正版を適用＋外部公開を遮断
DELMIA Service Process Engineer	3DEXPERIENCE R2024x〜R2026x	高（早期）	技術文書に沿って修正を適用
上記以外のダッソー製品	本2件の対象外	通常	公式情報の定期確認を継続

なお、修正版の具体的なビルド番号は会員向け技術文書（QA00000455613／QA00000456163）に記載されており、契約中の窓口や代理店を通じて入手できます。本記事で番号を断定しないのは、誤った版を案内して対応を誤らせないためです。

情報システム部門がいま確認すべきこと

最優先は、Teamwork Cloud（Magic Collaboration Studio）の修正版適用です。あわせて、このサーバーがインターネットから直接アクセスできる状態になっていないかを確認してください。設計データの共有サーバーは本来、社外に開く必要はほとんどありません。修正の適用までに時間がかかる場合は、ファイアウォールやVPNでアクセス元を絞り、攻撃者がそもそも到達できない状態にするのが現実的な応急策です。

過去のApriso悪用では、不審なリクエストの送信元IPや、見覚えのないプロセスの起動が痕跡として残りました。すでに侵入されていないかを確かめるため、サーバーのアクセスログと、修正適用前後の挙動も点検しておくと安心です。DELMIA側のCVE-2026-9024については、利用者が触れる入力欄を持つ画面を中心に、技術文書に沿って修正を当てます。

自社で運用しておらず、代理店やクラウド事業者に任せている場合は、対応状況を問い合わせるのが早道です。国内で広く使われる製品の脆弱性をまとめて追いたい場合は、2026年上半期の重大な脆弱性まとめもあわせて確認してください。

よくある質問

Q. すぐに攻撃される危険はありますか？

A. 2026年6月1日時点で、本2件が実際に攻撃に使われたという公的な報告はありません。ただし、ログイン不要で乗っ取れるCVE-2026-7858は技術的なハードルが低く、同社の同種の欠陥が過去に悪用された実績もあります。攻撃が広がる前の早期適用が安全です。

Q. CATIA本体やSOLIDWORKSも影響を受けますか？

A. 今回の2件の対象は、Teamwork Cloud（Magic Collaboration Studio）と DELMIA Service Process Engineer です。CATIA本体やSOLIDWORKSは本2件の対象には挙がっていません。ただしダッソー製品は更新が多いため、公式のセキュリティ情報を定期的に確認することをおすすめします。

Q. 修正版の番号はどこで分かりますか？

A. ダッソーの会員向け技術文書（CVE-2026-7858はQA00000455613、CVE-2026-9024はQA00000456163）に記載されています。契約中のサポート窓口か、導入を担当した代理店から入手してください。

Q. 自社で運用していなくても確認は必要ですか？

A. クラウド事業者や代理店に運用を委託している場合でも、対応状況の確認は必要です。委託先に修正適用の予定とスケジュールを問い合わせ、必要なら自社のネットワーク側でアクセス制限をかけてください。

まとめ

ダッソー・システムズが公表した2件のうち、CVE-2026-7858は設計データの共有サーバーをログインなしで乗っ取れる極めて危険な欠陥で、自動車・航空・防衛など日本の製造業の設計基盤を直撃します。同社製品では同じ型の欠陥が2025年に実際に悪用されており、今回も「公表されたばかりで攻撃が来ていないうちに塞ぐ」ことが何より重要です。対象バージョンを使っている組織は、修正版の適用と外部公開の遮断を最優先で進めてください。