Gladinet Triofoxに3件の重大脆弱性 CVE-2026-8362/8363/8364、企業ファイル共有が危機
Tenable Researchが2026年5月27日、企業向けクラウドファイル共有Gladinet Triofoxに3件の重大脆弱性CVE-2026-8362/8363/8364(CVSS 9.8×3、すべて認証不要RCE)を開示。Triofox v17.1.10488.57063以下が影響、v17.3.10565.57509以降で修正。
堀川 慎
Backend Engineer / AWS / Django
Tenable Researchが2026年5月27日、企業向けクラウドファイル共有Gladinet Triofoxに3件の重大脆弱性CVE-2026-8362/8363/8364(CVSS 9.8×3、すべて認証不要RCE)を開示。Triofox v17.1.10488.57063以下が影響、v17.3.10565.57509以降で修正。
Tenable Researchは2026年5月27日、企業向けクラウドファイル共有製品Gladinet Triofoxに3件の重大脆弱性CVE-2026-8362、CVE-2026-8363、CVE-2026-8364をセキュリティリサーチアドバイザリTRA-2026-45で開示しました。3件すべてCVSS 9.8、すべて認証不要のリモートコード実行(RCE)です。
Gladinet Triofoxは、社内ファイルサーバの中身をグローバル拠点間で共有するための製品で、VPNなしでWindowsエクスプローラのようにクラウド経由でファイル操作できる「企業向けOneDrive代替」として、製造業・建設業・メディア・政府機関などで広く使われています。今回問題となっているのは Triofox の中核コンポーネントである Triofox Server Agent(GladServerAgentService.exe)。TCP 7878番ポートをリッスンするこのサービスが、認証なしに HTTPリクエストを処理してしまうのが3件すべての根本原因です。
影響を受けるのは Triofox Server Agent v17.1.10488.57063以下、修正版は v17.3.10565.57509 以降です。攻撃成立時はファイル一覧の取得・追加・変更・削除、SQLiteデータベース内設定の改竄、バッファオーバーフロー経由のサーバ完全乗っ取りまで可能で、企業の機密ファイル基盤がランサムウェアグループの絶好の足場になります。
Gladinet Triofoxとは何か
Gladinet社は2009年設立の米マサチューセッツ州の企業で、Triofoxはその主力製品です。「ファイルサーバの中身に世界中の拠点から、Windowsエクスプローラと同じ感覚でアクセスする」というコンセプトで、Windowsファイルサーバの上にTriofox Server Agentを置いて、社員が世界中からファイルを開けるようにします。Active Directory連携、NTFS権限の継承、グローバルファイルロック、オフラインフォルダなど、エンタープライズに必要な機能を網羅しています。
主な利用シーンは次の通りです。
- 製造業:日本の本社と海外工場の間で、CADデータ(数十GB〜TB)を Photoshop / AutoCAD のまま編集できる環境を提供
- 建設業:設計図・施工計画書を全国の現場事務所と本社で同期、版数管理しながら共有
- メディア・映像制作:素材データ(40TB〜PB級)を編集ハウスと共有しつつ、Active Directoryで権限制御
- 政府機関・公共:機密ファイルをパブリッククラウドに置かずオンプレで保持しつつ、リモートアクセスを提供
- 保険業:拠点・代理店ネットワークから契約書類PDFを社内ファイルサーバに直接保存
Gladinetは開示時のTenableとのやり取りで「本製品の典型的な配備は、社内・非インターネット向けのファイルサーバ上」と説明しています。ただし実態として、Triofoxの売りである「VPNなしの拠点間ファイル共有」を実現するためには、Server AgentがHTTPS経由で外部からアクセス可能な位置に置かれることが多く、攻撃面が外部に露出している組織は無視できない数になります。
3件のCVE詳細
CVE-2026-8364:認証ミドルウェア欠落、TCP 7878 が無防備(CVSS 9.8)
3件のうち最も「設計の根」にある問題がCVE-2026-8364。GladServerAgentService.exeがTCP 7878でリッスンするHTTPサーバが、認証チェックを一切行っていない問題です。NVDの分類はCWE-306(重要機能の認証欠落)。TenableのアドバイザリTRA-2026-45によれば、認証なしで受け付けるURLパスのプレフィックスは次の通りです。
/resources:Triofox Driveのファイル一覧取得・追加・変更・削除/Settings:SQLiteデータベース内の設定値の改竄/status//sysinfo:システム情報の漏洩/woshome//schedule//DavCache:内部機能各種
攻撃者は /resources 経由でTriofox Drive上のファイルを直接読み取り・改竄・削除できます。これだけで「企業の機密ファイルが匿名で抜き取り放題」という致命的状態ですが、さらに残り2件のバッファオーバーフローと組み合わさることで、サーバそのものへのコード実行まで到達できる構造です。
CVE-2026-8362:WOSDefaultHttpModule.dll の /woshome スタックBOF(CVSS 9.8)
CVE-2026-8362は、WOSDefaultHttpModule.dllが/woshomeで始まる過剰に長いURLパスを処理する際に発生するスタックベースのバッファオーバーフローです。NVD分類はCWE-121。Tenableは「バッファオーバーフローとパストラバーサル機能の組み合わせ」と評価しています。スタックBOFは、書き換えられたリターンアドレスを介して攻撃者の任意コード実行に直結する古典的に致命的な脆弱性です。
CVE-2026-8363:WOSDeviceDropFolder.dll の /resources スタックBOF(CVSS 9.8)
CVE-2026-8363は、WOSDeviceDropFolder.dllが/resources:で始まる長いURLパス処理時に起きるBOFです。攻撃の対象パスはCVE-2026-8364で認証不要が確定している/resourcesと一致するため、認証バイパスとBOFが同じURLパスに同居している危険な並びです。CWE-121。
| CVE | 対象モジュール | 脆弱性 | CVSS |
|---|---|---|---|
| CVE-2026-8362 | WOSDefaultHttpModule.dll | スタックBOF/woshome 経路 | 9.8 |
| CVE-2026-8363 | WOSDeviceDropFolder.dll | スタックBOF/resources: 経路 | 9.8 |
| CVE-2026-8364 | GladServerAgentService.exe | 認証ミドルウェア欠落 TCP 7878(複数パス) | 9.8 |
3か月もめた開示プロセス:「ポートは公開されていない」と否定された経緯
今回の事案で特異なのは、Tenable Researchがベンダーに通報してから公式修正までに3か月以上かかった点です。Tenableのアドバイザリに記載された開示タイムラインは次の通りです。
| 日付 | 出来事 |
|---|---|
| 2/11 | Tenable Research がベンダーに初回コンタクト・開示 |
| 2/25 | Gladinet が受領を確認、今後の緩和策を約束 |
| 3/2 | Gladinet が「ポートは外部からの接続を受け付けていない」と主張 |
| 4/2〜4/23 | 実際のバインド挙動と修正方針をめぐる議論が継続 |
| 4/29 | Tenable が最終的な修正バージョンの確認を要求 |
| 5/27 | CVE 3件として公開、修正版 v17.3.10565.57509 リリース |
ベンダーが当初「外部から接続できない」と主張したのは、社内非インターネット向け配備を前提とする説明としては一貫していますが、現実の運用では多くのTriofox Server Agentが拠点間ファイル共有のためにインターネット越しに到達可能な位置にいることが想定されます。今回の3か月間、ベンダーが脆弱性の影響を過小評価して修正が遅れた構図は、ユーザー側からすれば「VPNなしファイル共有という売り文句を信じた結果、外部に晒したServer Agentが3か月にわたって無防備状態だった」という結論に行き着きます。
同種のエンタープライズファイル共有製品の脆弱性は、ランサムウェアグループの即時悪用対象になりやすい傾向があります。2023年にはIBM Aspera Faspex(CVE-2022-47986)がIceFireランサムウェアに使われ、Triofoxと同じくMOVEit TransferのCVE-2023-34362がClop ランサムウェアグループの大型キャンペーンの基点になりました。今回の3件もCISA KEV未登録ですが、悪用観測次第で短期間で登録される可能性は十分にあります。
いますぐやるべきこと
1. Triofox Server Agentを v17.3.10565.57509 以降にアップデート。 Gladinet公式管理コンソールから最新版を取得し、社内および海外拠点のTriofox Server Agentすべてに展開します。Server Agentは複数拠点に分散配置されている運用形態が多いため、全拠点の更新計画をまずリストアップします。
2. TCP 7878 ポートの公開状況を即時点検。 修正版適用までの間(あるいは適用後も二重防御として)、Triofox Server Agentが動いているサーバのTCP 7878ポートを外部ネットワークから到達不可能に絞ります。ファイアウォール、AWS Security Group、Azure NSG、オンプレ ACL の設定を見直し、信頼済みIPまたは内部VPNからのみ到達可能な状態にします。Triofoxの拠点間共有を「VPNなし」で運用していた組織は、ここで一時的にVPN接続を必須化する判断も検討します。
3. アクセスログを過去6か月分遡って点検。 CVE-2026-8364 は2026年2月時点でTenableが発見した「既存の脆弱性」です。攻撃者が独立に発見して悪用していた可能性も排除できません。/resources、/Settings、/woshomeへの身に覚えのないアクセス、特に異常に長いURLパスのリクエストが残っていないか確認します。
4. Triofox Drive 上のファイル変更・削除履歴を点検。 Triofoxには変更履歴・バージョン管理機能があります。過去6か月の重要ファイルについて、想定外の編集・削除が記録されていないかをスポットチェックします。攻撃者は/resources経由で匿名にファイル操作できる状態だったため、改竄や情報窃取の痕跡が残っていないかを確認します。
5. Active Directory連携設定の見直し。 Triofox は Active Directory のアカウントを使ってアクセス制御を行う構造ですが、CVE-2026-8364 の認証バイパスは AD 認証を経由せずにエンドポイントに到達します。AD パスワードの強化やMFAも本件には直接効きません。修正版適用までは、Triofox の外部公開そのものを止めるのが最も確実な対処です。
6. ランサムウェア対策の前提として、バックアップとリストア訓練を即点検。 企業ファイル共有基盤はランサムウェアの主要標的です。Triofox配下のファイルの3-2-1バックアップ(3コピー、2種類のメディア、1つはオフサイト)、暗号化されない隔離バックアップ(air-gap)、そしてリストア手順の実機訓練が機能する状態か、本件を機に再点検します。
CISA KEVへの登録状況とハブ記事連動
2026年5月28日時点で、CVE-2026-8362/8363/8364の3件はCISAのKEVカタログには未登録です。ただし、Gladinet社の過去製品ではCVE-2023-32258(Gladinet CentreStack)がCISA KEVに登録されてランサムウェアグループに利用された経緯があります。今回の3件、特に認証なしRCEを成立させるCVE-2026-8364が、攻撃者にとって極めて魅力的な脆弱性であることは間違いありません。
本サイトでは、現在攻撃中とCISAが認定したCVEの一覧と修正期限をCISA KEVダッシュボード(日本語版)で随時更新しています。Triofox関連がKEV入りした際は、ダッシュボード上で日本の組織にとっての影響度と米連邦機関向け期限を即座に確認できます。
同種のエンタープライズファイル共有・転送製品(IBM Aspera、MOVEit Transfer、Citrix ShareFile、Egnyte等)も含めた依存パッケージのCVE観測には、OSSサプライチェーン・スキャナーが活用できます。Triofoxはクローズドソース製品ですが、その上に乗っているOSSミドルウェア(SQLite、OpenSSL、各種パーサ)の脆弱性も同時並行で監視する価値があります。