製造業の設計データ管理ソフトに最悪の脆弱性、至急更新を CVE-2026-12569

自動車や電機などの製造業が設計データの管理に使う「PTC Windchill（ウィンドチル）」と、その姉妹製品「FlexPLM」に、認証なしで遠隔からシステムを乗っ取れる極めて危険な脆弱性が見つかりました。管理番号は CVE-2026-12569。危険度はメーカーPTCとドイツ政府の評価で10点満点中10.0と最大値です。

事態は単なる注意喚起にとどまりません。ドイツの情報セキュリティ当局（BSI）は、迫る攻撃の情報をつかんだとして、2026年6月17日の午前2時半に企業の管理者へ電話をかけ、即座の更新を促しました。すでに、侵入の足場となる「ウェブシェル」を仕込む攻撃が進行中とされています。米国のCISAも6月25日にこの脆弱性を「実際に攻撃されている脆弱性リスト（KEV）」へ追加し、6月28日までの対応を求めています。

製造業の心臓部に近い設計データの管理基盤が狙われている、という点で影響は深刻です。修正版はすでに公開されています。何が起きているのか、自社が当てはまるかも含めて順に説明します。

Windchill・FlexPLMとは何をするものか

Windchillは、製品の設計から製造、保守までの情報を一元管理する「PLM（製品ライフサイクル管理）」と呼ばれるソフトウェアです。具体的には、CADで描いた設計図面、どの部品をいくつ使うかを示す部品表（BOM）、設計変更の履歴といった、ものづくりの根幹となるデータを集約します。FlexPLMはこれをアパレルや小売向けに特化させた姉妹製品です。

PTCによれば、Windchillは航空宇宙、自動車、医療機器、電子機器といった技術系の製造業で広く使われています。日本の製造業にも多くの導入実績があり、ここに保存されているのは各社の競争力そのものといえる機密データです。だからこそ、ここを乗っ取られると被害は通常のシステム障害では済みません。

認証なしで遠隔からコードを実行される

脆弱性の原因は、「安全でないデシリアライゼーション」と呼ばれる種類の欠陥です。デシリアライゼーションとは、ネットワークで受け取ったデータを、プログラムが扱える形に組み立て直す処理のことです。この組み立ての際に受け取ったデータを十分に検証していないと、攻撃者が細工したデータを送り込むだけで、サーバーに意図しないプログラムを実行させられることがあります。

今回はまさにこの形で、PTCの公式アドバイザリによると、認証情報を持たない遠隔の攻撃者が、ネットワーク越しに任意のプログラムを実行（リモートコード実行、RCE）できます。ログインも利用者の操作も不要で、攻撃の手順を自動化しやすい点が、危険度を最大級に押し上げています。セキュリティ専門メディアの報道でも「事前の認証なしにネットワークから到達でき、容易に自動化できる」と指摘されています。

なお危険度の数値には見解差があります。メーカーPTCとドイツBSIは旧基準（CVSS 3.1）で最大の10.0としていますが、米NVDの新基準（CVSS 4.0）による評価は9.3です。どちらの基準でも「最優先で直すべき」水準であることに変わりはありません。

誰が、何のために狙うのか

この脆弱性を狙うのは、インターネットに接続された製造業の設計データ基盤を探し回る攻撃者です。認証が要らず手順を自動化できるため、特定の企業を狙い撃つ標的型の集団から、無差別に脆弱なサーバーを探すランサムウェア攻撃者まで、幅広い相手が手を出せます。実際、報告された攻撃は侵入後の足場となるウェブシェル（遠隔操作用の裏口プログラム）を仕込むものでした。

その狙いは、設計図面や部品表といった、企業の競争力に直結する機密データを盗み出すこと、あるいは暗号化して身代金を要求することです。CADの製造プランや部品表が外部に流出すれば、製品の模倣や産業スパイにつながります。さらに開発・製造の工程が止まれば、納期や売上にも直結します。盗まれて困るデータと、止まって困る業務の両方を、一度に握られる構図です。

製造業は近年、ランサムウェアの主要な標的になっています。国内でも製造業を狙った攻撃で工場の操業が止まる事例が相次いでおり、今回のように「設計データの基盤に認証なしで入れる穴」は、攻撃者にとって願ってもない入り口になります。

ドイツ当局が深夜に管理者へ警告した

今回の対応で異例だったのが、ドイツ当局の動きです。ドイツの技術系メディアheiseの報道によると、BSIの職員は2026年6月17日の午前2時半、企業の管理者に直接電話をかけ、ゼロデイ（修正が間に合う前から狙われている脆弱性）への即時対応を求めました。メールでも同時に通知を送っています。

BSIは「信頼できる情報源から、脆弱なWindchillへの攻撃が差し迫っているとの情報を得た」としています。2026年3月に起きた別のWindchillの脆弱性では、ドイツ連邦刑事警察局（BKA）が各州警察を通じて企業へ通知する事態にまでなりました。国家機関が夜中に電話をかけ、警察まで動くというのは、それだけ事態が切迫していることの表れです。下に主な経過をまとめます。

← スワイプで移動

影響を受けるバージョンと、今すぐやる対策

影響範囲は広く、Windchill PDMLinkとFlexPLMの複数のバージョン系列が対象です。heiseがまとめた情報によれば、11.0からM030までの全バージョンと、11.1 M020、11.2.1.0、12.0.2.0、12.1.2.0、13.0.2.0、13.1.0.0〜13.1.3.0が該当します。PTCは修正版として13.1.3.4、13.1.2.8、13.0.2.12、12.1.2.27を公開しています。

対応の手順はこうです。まず、自社のWindchill／FlexPLMのバージョンを確認し、上の表に従って修正版へ更新します。すぐに更新できない、あるいは11.0 M030より古い版を使っている場合は、当面の急場しのぎとしてインターネットからの接続を遮断し、外部から直接たどり着けない状態にします。正確な対象と入手先は、必ずPTCの公式サポート記事（CS473270）で確認してください。

あわせて、すでに侵入されていないかの点検も重要です。PTCは攻撃で使われるウェブシェルのURLや、攻撃者特有の通信の特徴（痕跡情報＝IOC）を公開しています。これらと自社のログを突き合わせ、不審なファイルやアクセスがないか確認してください。この脆弱性はCISAの「実際に攻撃されている脆弱性リスト（KEV）」にも収載されており、対応期限は6月28日です。

確認しておきたい点

設計データの基盤こそ、最優先で守るべき

国家の情報機関が深夜に電話をかけ、警察まで動くという反応は、それ自体が事態の深刻さを物語っています。設計図面や部品表は、製造業にとって何年もの開発の結晶であり、流出すれば取り返しがつきません。しかも認証なしで自動的に攻撃できるため、狙われるかどうかは「運」ではなく「ネットに出ているか」で決まります。

幸い、修正版はすでに用意され、急場しのぎのインターネット遮断という手も残されています。まずは自社のWindchill／FlexPLMのバージョンと公開状況を確認し、修正版の適用、難しければ外部接続の遮断を急ぐ。あわせてPTCが公開した痕跡情報で侵入の有無を点検する。製造業のデジタル化が進むほど、その土台となる設計データの基盤は、攻撃者にとって最も価値の高い標的になります。

参照元

• ▸ PTC - Remote Code Execution Vulnerability in Windchill and FlexPLM（CVE-2026-12569）
• ▸ PTC - サポート記事 CS473270
• ▸ NVD - CVE-2026-12569 詳細
• ▸ CISA - Known Exploited Vulnerabilities Catalog
• ▸ heise - PTC Windchill: BSI calls admins at night due to critical security vulnerability
• ▸ Security Affairs - CISA and BSI warn orgs of critical PTC Windchill and FlexPLM flaw
• ▸ SecurityWeek - CISA Flags Critical PTC Vulnerability That Had German Police Mobilized