特権アクセス管理ソフト『Fortra BoKS』に乗っ取りの脆弱性 CVE-2026-9862

企業が社内の大量のサーバーの管理者権限をまとめて管理する仕組み「Fortra Core Privileged Access Manager（BoKS）」に、危険度9.8の重大な脆弱性が見つかりました。番号はCVE-2026-9862です。ログインなしで、社内ネットワークから届く位置にいる攻撃者が、この中枢サーバー上で任意の命令を実行できてしまう恐れがあります。

開発元のFortraは2026年6月15日、修正版を公開しました。サポート中の2つのバージョン系統で、それぞれサーバー版 s-9.0.0.5 と s-8.1.0.23 が修正版にあたります。BoKSを運用している企業は、後回しにせず速やかに適用してください。

Fortra BoKSとは何をするソフトか

大きな会社では、サーバーが何百台、何千台と存在します。それぞれに管理者権限（root）でログインできる人を一台ずつ手作業で管理するのは現実的ではありません。そこで使われるのが「特権アクセス管理（PAM）」と呼ばれる仕組みで、「誰が、どのサーバーに、どこまでの権限で入れるか」を一か所で束ねて管理する金庫番のような役割を担います。

Fortra Core Privileged Access Manager（BoKS）は、その代表的な製品の一つです。旧称はHelpSystems、さらに古くは別社の製品で、現在は「Powertech Identity & Access Manager（BoKS）」とも呼ばれます。LinuxやUNIXのサーバー群を抱える金融・通信・製造などの大企業で、管理者権限の集中管理に使われています。

今回問題が見つかったのは、BoKSの自動登録（autoregistration）サービスです。新しいサーバーをBoKSの管理下に組み込むとき、その機器が中枢サーバーに自分を登録するためにネットワーク越しに通信します。この受付窓口にあたるboks_autoregisterdという常駐プログラムに、命令の取り扱いの不備がありました。

合鍵をまとめて預けた金庫が、外からこじ開けられる時

危険度9.8という数字そのものより、「狙われているのが守る対象ではなく、守るための仕組みそのものだ」という点を先に押さえておく必要があります。PAMは、全社のサーバーへの入り口を束ねる金庫です。その金庫の受付窓口が、ログインもいらずに外からこじ開けられる、というのが今回の脆弱性です。

ここを真っ先に狙うのは、すでに会社のネットワークのどこかに足がかりを得ていて、そこから一気に支配範囲を広げたい相手です。具体的には、侵入後に社内を横移動して被害を最大化したい攻撃者、企業への侵入経路を作ってランサム集団に売り渡す初期アクセスブローカー、内部から特権を握ろうとする不正な従業員、長期間ひそかに居座って情報を抜き続けたい産業スパイです。彼らが取りに来るのは、BoKSが束ねている中身そのもの、つまり全サーバーの管理者パスワード、SSHの鍵、「誰がどのサーバーに入れるか」の一覧、特権操作の記録です。この自動登録の窓口に細工した通信を一度通された瞬間、全社のサーバーの合鍵がまとめて相手の手に渡り、中枢サーバーごと乗っ取られてしまいます。

セキュリティの言葉でいうと、これはOSへ渡す命令文に攻撃者の文字列を紛れ込ませる「OSコマンドインジェクション」です。ログインが不要（PR:N）で、ネットワークから届きさえすれば成立するため、すでに社内に侵入した攻撃者にとっては、一台のPCの乗っ取りから「全社の特権を握る」段階へ一足飛びに進める踏み台になります。PAMは便利な反面、そこが破られれば全サーバーが連鎖的に陥落する「特権の急所」でもあり、攻撃者がもっとも欲しがる一点です。

「9.8」という数字が表すのは、あくまで技術的な深刻さの目盛りにすぎません。BoKSを運用する企業にとって本当に失われるのは、全サーバーへの管理者アクセスという事業の根幹、止められなくなる業務、顧客や取引先のデータ、そして「守る仕組みごと破られた」という事実が公になったときの信頼です。守りの中枢が落ちるということは、その後ろにあるすべてが同時に危うくなる、ということを意味します。

CVE-2026-9862：自動登録の受付に命令が紛れ込む

CVE-2026-9862は、NVDの説明によると「boks_autoregisterdサービスのOSコマンドインジェクション脆弱性で、当該サービスにネットワーク到達できる遠隔の攻撃者が、自動登録の処理中にサービスの権限でコマンドを実行させられる可能性がある」とされています。種別はOSコマンドインジェクション（CWE-78）です。

本来であれば、外部から送られてくる登録情報は「ただのデータ」として扱われるべきです。ところが、その文字列がOSへの命令を組み立てる際にそのまま使われてしまうと、攻撃者が紛れ込ませた命令がサービスの権限で実行されます。自動登録サービスは中枢サーバー側で高い権限を持って動いているため、奪われる権限も大きくなります。

技術的な評価軸（CVSSベクター）は AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で、スコアは9.8です。要点は「ネット越しに（AV:N）、簡単な条件で（AC:L）、ログインなし（PR:N）・利用者の操作なし（UI:N）で成立し、情報の盗み見・改ざん・破壊のすべてが最大（C:H/I:H/A:H）」という意味です。攻撃の前提条件がほとんど無いに等しく、極めて悪用しやすい部類に入ります。

なお、同じ6月15日の更新では、アップグレード処理に関する別のコマンドインジェクション脆弱性（CVE-2026-9863）も同時に修正されています。修正版を適用すれば両方ともふさがります。

対象バージョンと、いますぐやるべきこと

対象は、修正版より前のBoKSです。サポート中の2系統それぞれに修正版が用意されています。運用中のサーバー版の番号を確認してください。

最優先の対応は、サーバーをs-9.0.0.5 または s-8.1.0.23 以降へ更新することです。更新までの間の暫定策として、自動登録サービスに接続できる範囲をネットワーク側で絞り込み、信頼できる管理セグメントからのみ到達できるようにすることも有効です。本来このサービスは社内のサーバー登録のためのもので、広いネットワークや外部に晒す必要はありません。

あわせて、更新前にすでに悪用されていなかったかも点検しておきたいところです。自動登録サービスへの想定外の接続記録、中枢サーバー上で身に覚えのないプロセスやアカウントが動いていないか、特権付与の履歴に不審な変更がないかを確認してください。詳しい影響範囲と修正手順は、Fortraのセキュリティアドバイザリ（FI-2026-007）に従うのが確実です。

「守る側のソフト」が狙われる構図

本来は安全のために導入したはずの製品が、逆に侵入の入口になる事例は繰り返されています。本サイトでも、社員のスマホを管理する『門番』Ivanti Sentryが無認証で乗っ取られる脆弱性（CVE-2026-10520ほか）、Check Point製VPNの認証回避をランサム集団が悪用した事案（CVE-2026-50751）、ログインなしでサーバーを乗っ取られるOracle PeopleSoftの緊急脆弱性（CVE-2026-35273）を取り上げてきました。

開発元のFortraは、過去にもファイル転送製品「GoAnywhere MFT」の事前認証なしのコマンドインジェクション（CVE-2023-0669）が、Clop（クロップ）というランサム集団に大規模に悪用され、130社以上が被害を受けた経緯があります。今回のCVE-2026-9862も同じ「命令の取り扱いの不備」という型で、しかも認証が不要です。攻撃側にとっての価値が高い脆弱性ほど、公開後に悪用が始まるまでの時間は短くなる傾向があります。

悪用状況と、いま見ておくべきこと

2026年6月15日時点で、CVE-2026-9862が実際の攻撃に使われたという報告はなく、米政府機関が攻撃に悪用されている脆弱性をまとめるCISAのKEVカタログにも登録されていません。攻撃に悪用されている脆弱性の最新状況は、本サイトのCISA KEV日本語ダッシュボードでまとめて確認できます。

ただし、特権アクセス管理という「攻撃の見返りが極めて大きい」標的で、しかもログイン不要で悪用できる脆弱性です。攻撃者にとっての魅力は突出しており、「まだ攻撃されていない」ことは「対応を急がなくてよい」ことを意味しません。修正版が出ている今のうちに、適用と侵害の有無の点検を済ませておくのが最も確実な防御です。

参照元

• ▸ NVD - CVE-2026-9862（2026年6月15日公開）
• ▸ Fortra - Security Advisory FI-2026-007（CVE-2026-9862）
• ▸ Fortra - BoKS Manager リリースノート（s-9.0.0.5 / s-8.1.0.23）
• ▸ MITRE - CWE-78: OS Command Injection
• ▸ BleepingComputer - Fortra GoAnywhere MFT ゼロデイ攻撃（CVE-2023-0669、参考）
• ▸ CISA - Known Exploited Vulnerabilities Catalog