富士通系サーバ管理ソフトServerViewに権限奪取の脆弱性 CVE-2026-27788
富士通系のエフサステクノロジーズが提供するサーバ管理ソフトServerView Agents for Windowsに、権限昇格の脆弱性が2件(CVE-2026-27788/CVE-2026-32325、いずれもCVSS8.5)見つかりました。対象はV11.60.04以前で、サーバにログインできる者が最高権限を奪取できます。
堀川 慎
Backend Engineer / AWS / Django / Go
富士通系のエフサステクノロジーズが提供するサーバ管理ソフトServerView Agents for Windowsに、権限昇格の脆弱性が2件(CVE-2026-27788/CVE-2026-32325、いずれもCVSS8.5)見つかりました。対象はV11.60.04以前で、サーバにログインできる者が最高権限を奪取できます。
富士通系のエフサステクノロジーズが提供するサーバ管理ソフト「ServerView Agents for Windows」に、権限を引き上げられる脆弱性が2件見つかりました(JVN#67883085、2026年5月29日公開)。影響を受けるのはV11.60.04およびそれ以前で、深刻度は2件ともCVSS 8.5(最大10)。そのサーバにログインできる権限を持つ人なら、Windowsの最高権限であるSYSTEM権限を奪い取り、サーバ全体を自由に操作できてしまう状態です。株式会社ラックの飯田雅裕氏が報告しました。外部から誰でも攻撃できる種類ではなく、すでにサーバへログインする手段を持つ者が踏み台にする「ローカル権限昇格」です。エフサステクノロジーズは最新版へのアップデートを呼びかけています。
ServerView Agentsとは、富士通のサーバ「PRIMERGY」に常駐し、温度・電源・ディスク・ファンといったハードウェアの状態を監視して管理者に知らせる「サーバ管理エージェント」です。官公庁・金融・製造業のデータセンターで広く動いており、PRIMERGYを多数並べて運用している現場では、ほぼ全台に入っていると言ってよいソフトです。その常駐ソフトの権限の扱いに不備があり、本来は限られた人しか持てないはずの最高権限が、一般の利用者から手の届くところに置かれていた、というのが今回の中身です。
権限昇格(けんげんしょうかく)とは、限られた権限しか持たない利用者が、本来は許されていない上位の権限を不正に手に入れることを指します。今回の2件はいずれもこの種類で、CVE番号としてCVE-2026-27788とCVE-2026-32325が割り当てられています。JVNのほか、米国立標準技術研究所のデータベースNVDでも各CVEを確認できます。以下、2件を1件ずつ見ていきます。
2件の脆弱性は何か(CVE別の中身)
2件はどちらも「ログインできる利用者がSYSTEM権限を奪える」点で結果は同じですが、原因となる弱点の分類が異なります。SYSTEM権限とは、Windowsでサービスやドライバを動かすために用意された最上位の権限で、人間の管理者(Administrator)よりさらに広い、OSそのものに等しい力を持ちます。
CVE-2026-27788: 不適切なアクセス権限の割り当て(CWE-732)
ServerView Agentsが使うファイルやフォルダ、設定などに対するアクセス権限(誰が読み書き・実行してよいかの設定)が、本来より緩く割り当てられていた問題です。分類はCWE-732(重要なリソースへの不適切な権限割り当て)。緩い権限をつけられた場所に、攻撃者が自分の用意したファイルを置き換えたり書き込んだりすると、それがSYSTEM権限で動いてしまい、結果として最高権限を握れます。深刻度はCVSS v4.0で8.5、v3.0で7.8(評価軸はいずれも「ローカルから・低い権限で・利用者操作なし」で機密性・完全性・可用性すべてに高い影響)です。詳細はNVDのCVE-2026-27788を参照してください。
CVE-2026-32325: 権限昇格(CWE-268)
こちらは権限の管理そのものに不備があり、限られた利用者がより上位の権限へ昇格できてしまう問題です。分類はCWE-268(権限管理の不備)。CVE-2026-27788とは原因の分類が分かれていますが、結果はやはりログインできる利用者によるSYSTEM権限の奪取です。深刻度はCVE-2026-27788とまったく同じで、CVSS v4.0が8.5、v3.0が7.8。2件は別々の弱点なので、片方だけをふさいでも安全とは言えず、どちらも更新で解消する必要があります。詳細はNVDのCVE-2026-32325にあります。
脆弱性の概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-27788 CVE-2026-32325 (計2件) |
| 管理番号 | JVN#67883085 |
| 対象製品 | ServerView Agents for Windows (PRIMERGY向けサーバ管理ソフト) |
| CVSS | 2件とも v4.0:8.5 v3.0:7.8 |
| 弱点の分類 | CVE-2026-27788:CWE-732 CVE-2026-32325:CWE-268 |
| 影響 | サーバにログインできる者が SYSTEM権限を奪取(ローカル権限昇格) |
| 影響バージョン | V11.60.04 およびそれ以前 |
| 修正バージョン | 最新版へアップデート (具体的な版番はベンダー情報を参照) |
| 報告者 | 株式会社ラック 飯田 雅裕 氏 |
| 公開日 | 2026年5月29日 |
| 悪用の確認 | 米CISA KEVに未登録 (実際の攻撃は未確認) |
米CISA(米国土安全保障省の下にあるサイバーセキュリティ機関)が公開する「実際に攻撃されている脆弱性リスト」(KEV=Known Exploited Vulnerabilities)には、本件は2026年6月1日時点で未登録です。外部から無認証で攻撃できる種類ではなく、国内のコーディネートを経た新規開示であることから、現時点で実際の悪用は確認されていません。なお同じServerView Agents for Windowsでは、2026年1月にもインストーラーのファイル読み込みに関する別の脆弱性(JVN#65211823/CVE-2026-24016、V11.50.06以前)が公開されています。今回の2件とは別件ですが、PRIMERGYを運用している組織はあわせて更新状況を確認しておくとよいでしょう。
サーバに入れる人が「鍵束ごと持ち出せる」とき、データセンターから消えるもの
この2件が怖いのは、外からの攻撃ではなく「すでにそのサーバにログインできる人」が最高権限へ駆け上がれる点です。足場になりうるのは、運用を委託された外部ベンダーの常駐担当者、使い回している運用アカウントを握る誰か、フィッシングで一般社員のIDを盗んだ侵入者、退職後も消されず残る元担当者です。SYSTEM権限を取れば業務システム、顧客データ、認証情報、バックアップまで触れます。本CVEを踏まれた瞬間、限られた権限しか持たなかった利用者に、サーバ1台がまるごと乗っ取られてしまいます。
被害はその1台では止まりません。最高権限を握った者はServerViewのハードウェア管理機能を入口に、同じ管理ネットワークの他のPRIMERGYへ横展開し、複数台を次々と掌握していけます。そこから基幹データの抜き取りやバックアップの破壊、全台へのランサムウェア展開へ進めば、復旧の足場ごと失われます。管理エージェントは全台共通で入るため、1つの弱点が「全フリートに効く合鍵」になるのが厄介です。
この連鎖の責任はサーバを運用する企業やデータセンター事業者に返ります。個人情報が漏れれば本人への通知と個人情報保護委員会への報告が必要になり、運用を受託していればSLA(サービス品質の契約)違反の賠償を問われ、止まった基幹システムの損失と信用の失墜が同時にのしかかります。内側の権限管理の穴だっただけに、いま更新と棚卸しに手を打てるかが現場の安全を左右します。
自分の環境は危ないのか(影響範囲の早見表)
リスクの大きさは、ServerView Agentsのバージョンと、そのサーバにログインできるアカウントをどれだけ絞れているかで変わります。自社のPRIMERGYがどの状態かを下の表で確認してください。OSはWindowsが対象で、Linux版(ServerView Agents for Linux)は今回の対象外です。
| ServerView Agentsのバージョン | 稼働OS | サーバにログインできる アカウントの管理状況 | リスクと取るべき対応 |
|---|---|---|---|
| V11.60.04以前 | Windows | 共用アカウントあり 外部委託者もログイン可 | 最大リスク。最高権限を奪われ得る 最新版へ即更新+アカウント棚卸し |
| V11.60.04以前 | Windows | ログインは限られた 個人アカウントのみ | 高リスク。内部・委託経由の悪用が残る 最新版へ更新、更新まで監査ログ監視 |
| V11.60.04以前 | Windows | ログイン権限者が不明 (棚卸し未実施) | 高リスク。誰が踏めるか把握できていない まずログイン権限の洗い出しを最優先 |
| 最新版(更新済み) | Windows | いずれの状況でも | 本2件は解消済み アカウント最小化の運用は継続 |
| Linux版 | Linux | いずれの状況でも | 本件(JVN#67883085)の対象外 別途ベンダー情報を確認 |
いますぐやるべきこと(対策)
最も確実な対策は、エフサステクノロジーズが提供する最新版へのアップデートです。2件とも更新で解消します。更新が全台に行き渡るまでの間は、SYSTEM権限への昇格を「誰にもさせない」運用面の手当てが必要になります。次の順で進めてください。
1. 最新版へアップデートする。 エフサステクノロジーズ/富士通のサポートサイトとセキュリティ情報(PSIRT)で、本件(JVN#67883085)に対応する最新版の版番を確認し、影響バージョン(V11.60.04以前)に該当する全PRIMERGYへ適用します。版番はベンダーの案内に従い、思い込みで古い版を残さないようにします。
2. サーバにログインできるアカウントを棚卸しして最小化する。 この脆弱性は「ログインできること」が前提です。各PRIMERGYにログイン可能なアカウントを洗い出し、不要なものを削除します。退職者・異動者・契約が切れた外部委託者のアカウントは即時に無効化してください。
3. 共用アカウントを廃止し、個人ごとに分ける。 複数人で使い回す運用アカウントは、誰が踏んだか追えず、悪用の温床になります。原則として個人単位のアカウントに切り替え、誰がいつログインしたかを記録できる状態にします。
4. ローカルログオン権限を絞る。 Windowsのアカウントと権限の設定を見直し、サーバへローカルでログオンできる範囲を業務上どうしても必要な人だけに限定します。足場になりうる入口そのものを減らすのが狙いです。
5. ServerViewの権限とファイルのアクセス権を確認する。 ServerViewが使うフォルダ・ファイル・サービスのアクセス権(ACL=誰が読み書き・実行してよいかの一覧)に、一般利用者が書き込めるような緩い設定が残っていないかを点検します。CVE-2026-27788はこの緩さを突くものなので、更新適用までの間の被害を抑える助けになります。
6. 監査ログを監視する。 権限昇格の試みは、見慣れない権限取得や管理者権限での想定外の操作として痕跡が残ることがあります。SYSTEM権限での不審な動作、ServerView関連ファイルの書き換え、深夜帯のログインなどを監視ポイントに加えてください。
PRIMERGYを多数並べている現場ほど、ServerView Agentsは全台に共通で入っているため、1台でも古い版が残れば内部からの侵入の足場になります。フリート全台への展開は「代表機だけ更新して安心しない」ことが肝心です。資産管理台帳とつき合わせ、影響バージョンが1台も残らないところまで確認してください。自社で運用しているソフトに潜む弱点を素早く把握したい場合は、OSSサプライチェーン・スキャナーの考え方も棚卸しの参考になります。
参照元
- ▸JVN - JVN#67883085 ServerView Agents for Windows における権限昇格の脆弱性(2026年5月29日)
- ▸JVN(英語版)- JVN#67883085
- ▸NVD - CVE-2026-27788(不適切なアクセス権限の割り当て・CWE-732)
- ▸NVD - CVE-2026-32325(権限昇格・CWE-268)
- ▸エフサステクノロジーズ 公式サイト(サポート・最新版の確認)
- ▸富士通 セキュリティ情報(PSIRT)
- ▸株式会社ラック(報告者所属)
- ▸CWE-732 - 重要なリソースへの不適切な権限割り当て
- ▸CWE-268 - 権限管理の不備
- ▸Microsoft - Windowsのローカルアカウントと権限
- ▸JVN - JVN#65211823 ServerView Agents for Windowsのインストーラーの脆弱性(関連・CVE-2026-24016)
- ▸CISA - Known Exploited Vulnerabilities Catalog(未登録の確認)