企業のID管理ManageEngineに乗っ取りの欠陥 CVE-2026-11374、更新を

企業で社員のパスワード管理やActive Directory（社内の利用者アカウントを一元管理する仕組み）の運用に使われるManageEngineの製品群に、認証を経ていない第三者が利用者のアカウントを乗っ取れる欠陥が見つかりました。共通の脆弱性識別番号は CVE-2026-11374、深刻度はCVSSで10点満点中9.0（クリティカル）です。

原因は、一度のログインで複数のサービスを使えるようにする「SSO（シングルサインオン）」の仕組みにあります。ログインした利用者を識別するための合言葉（チケット）が外部から推測できてしまう状態で、これを言い当てられると、攻撃者はパスワードを知らなくても、その利用者になりすませてしまいます。開発元のZoho（ManageEngineのブランド元）は修正版を公開済みです。

影響を受けるのは、統合管理スイート「ManageEngine AD360」と連携させている場合に限られます。該当する4製品を使っている組織は、後述の修正ビルドへ早めに上げる必要があります。

この欠陥は誰に、どんな被害をもたらすのか

狙われるのは、ManageEngine AD360と連携した管理ツールを、インターネットから届く場所に置いている組織です。これらの製品は、社員が自分でパスワードを再設定したり、管理者がアカウントや監査ログを扱ったりするための入り口です。つまり、攻撃者にとっては「社内の鍵束」がまとまっている場所であり、そこを正面から開けられるなら、これほど都合のいい標的はありません。

攻撃者がやることは、ログイン中の利用者を識別する合言葉（SSOチケット）を推測し、その人になりすましてログイン状態を奪い取ることです。パスワードの入力も、利用者をだますメールも必要ありません。なりすましに成功すると、その利用者が持つ権限と役割をそのまま引き継げてしまいます。乗っ取った相手が管理者であれば、影響は一気に広がります。

被害として現実的なのは、社員アカウントの乗っ取りを足がかりにした社内システムへの侵入、パスワード再設定機能を悪用した他アカウントの掌握、そして監査ログの閲覧や改ざんによる「侵入の痕跡消し」です。ID管理の土台が破られると、その上に乗っている全社の利用者管理が揺らぎます。なお、後述するようにこの攻撃は条件がそろわないと成立しにくい面もありますが、深刻度が高いことに変わりはありません。だからこそ、修正版への更新を急ぐ価値があります。

対象製品と修正版の早見表

影響を受ける4製品と、それぞれの修正ビルド・公開日を整理します。自社で使っている製品のビルド番号と照らし合わせ、下記より古ければ更新が必要です。修正は2026年6月初旬から順次提供されています。

いずれも単体で使っている場合ではなく、AD360に統合して連携させている構成が対象です。各製品の修正は「サービスパック」として配布されており、製品内の更新メニューか、ManageEngineのサービスパック配布ページから適用できます。

技術的に何が起きているのか

問題の核心は、SSOのセッションを認証する際に発行される「チケット」の作り方にあります。ManageEngineの説明によると、AD360経由でこれらの製品にSSOでサインインしたとき、そのセッションを認証するために生成されるチケットが、認証されていない攻撃者から予測可能でした。本来チケットは、第三者には推測できないランダムな値であるべきものです。

これは不十分な乱数の使用（CWE-330）と予測可能な識別子の生成（CWE-340）に分類され、結果として認証不備（CWE-287）を招きます。攻撃者は有効なチケットを言い当てることで、対象の利用者の身元（identity）と役割（role）の情報を取得し、そのアカウントを乗っ取れる、とアドバイザリは説明しています。

CVSSのベクトル（CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H）を読み解くと、攻撃はネットワーク越しに、事前の認証も利用者の操作もなしに成立し得ます。一方で「攻撃の複雑さ：高（AC:H）」とされており、チケットの予測には一定の条件や試行が必要で、誰でも簡単に再現できるわけではありません。とはいえ、認証なしでアカウントを奪える性質と影響範囲の広さから、総合スコアは9.0（クリティカル）と評価されています。Zohoはチケットの生成方法を強化し、推測できないように修正したとしています。

いま管理者がやるべきこと

回避策（設定変更による一時しのぎ）は公表されていません。対応は修正ビルドへの更新が唯一の手段です。順番に進めます。

① 自社の構成を確認する。 まず、ADSelfService Plus・RecoveryManager Plus・M365 Manager Plus・ADAudit Plusのいずれかを、AD360と連携させて使っているかを確認します。AD360との統合をしていなければ、本件の直接の対象ではありません。

② ビルド番号を確認し、更新する。 各製品のビルド番号が上の早見表より古ければ、配布されているサービスパックを適用します。ADSelfService Plusは6529、RecoveryManager Plusは6321、M365 Manager Plusは4817、ADAudit Plusは8703以降が対策済みです。更新手順は各製品のアドバイザリからたどれます。

③ 公開範囲を見直す。 これらの管理ツールは、本来インターネットに広く公開する必要のないものです。社外から直接アクセスできる状態になっていないか、ファイアウォールやアクセス制限を点検します。万一、別の脆弱性が出たときの被害を抑える基本対策にもなります。

ManageEngineのアカウント管理製品は、過去にも認証回避の脆弱性が実際の攻撃に悪用され、米政府の悪用が確認された脆弱性リスト（KEV）に複数回掲載されてきた経緯があります。今回のCVE-2026-11374は執筆時点でKEVには載っておらず、悪用の報告も確認されていませんが、狙われやすい製品であることは念頭に置いて、更新を後回しにしないのが安全です。同種の「ログイン基盤の認証回避」では、ログイン基盤Casdoorの認証回避や、GitLabのアカウント乗っ取りでも、社内設置型の製品ほど更新が遅れがちで危険、という共通点があります。

わかっていること・まだわからないこと

よくある質問

Q. ManageEngineの製品を単体で使っています。影響はありますか？

今回のアドバイザリは、4製品を統合スイートのAD360と連携させた構成を対象としています。単体運用について脆弱性の言及はありません。ただし、修正ビルドは安定して提供されているため、構成にかかわらず最新のサービスパックへ更新しておくのが安全です。

Q. CVSS 9.0なのに「攻撃の難度は高い」とはどういうことですか？

CVSSの総合スコアは、影響の大きさ（認証なしでアカウントを奪える）と攻撃のしやすさを合わせて算出されます。今回は影響が極めて大きい一方、チケットの予測には一定の条件や試行が必要なため、攻撃の複雑さは「高」と評価されています。総合では9.0と高い値になっていますが、「誰でも即座に悪用できる」状態とは限らない、という意味です。

Q. すでに攻撃されている恐れはありますか？

執筆時点では、実環境での悪用の報告やKEVへの掲載は確認されていません。ただしManageEngineのアカウント管理製品は過去に攻撃の標的になった実績があり、油断はできません。更新を後回しにしないことが最善の備えです。

参照元

• ▸ManageEngine - Security advisory: CVE-2026-11374
• ▸NVD - CVE-2026-11374
• ▸ManageEngine AD360 製品ページ
• ▸CISA - Known Exploited Vulnerabilities Catalog