SolarWinds Serv-Uに無認証でサービス停止のDoS脆弱性 CVE-2026-28318、CISA KEV登録で悪用確認、15.5.4-hotfix-1へ即更新を

ブログ/記事一覧/SolarWinds Serv-Uに外部からサービス停止の脆弱性 CVE-2026-28318、悪用確認で即更新を

ニュース本日更新

堀川慎

Backend Engineer / AWS / Django / Go

2026.06.069 min0 views

Share X Hatena LINE LinkedIn RSS

この記事のポイント

企業のファイル転送サーバーSolarWinds Serv-Uに、認証なしで細工した通信を送るだけでサービスを停止させられる脆弱性が見つかりました。CVE-2026-28318でCVSSは7.5。米CISAが2026年6月5日に実際に悪用されているとしてKEVに登録し、連邦機関に6月19日までの対処を命じました。対象バージョンと修正版15.5.4-hotfix-1、いますべきことをまとめます。

企業が社内外でファイルを安全にやり取りするために広く使われているサーバーソフト「SolarWinds Serv-U」に、外部から細工した通信を1つ送り込むだけでサービスを停止させられる脆弱性（情報セキュリティ上の欠陥）が見つかりました。共通の管理番号はCVE-2026-28318で、深刻度を10点満点で表すスコア（CVSS v3.1）は7.5、4段階で上から2番目の「重要（High）」です。

重大なのは、米国の政府機関であるサイバーセキュリティ・インフラセキュリティ庁（CISA）が、この欠陥を「実際に攻撃に使われている脆弱性」をまとめたKEVカタログに2026年6月5日付で追加した点です。KEVへの登録は、すでに現実の攻撃で悪用されている証拠があることを意味します。CISAは米連邦政府機関に対し、2026年6月19日までに対処するよう命じました。

この記事では、何が起きるのか、どのバージョンが対象でどう更新すればいいのか、すでに悪用されているという事実をどう受け止めればいいのか、そしてServ-Uを運用している組織がいま何をすればいいのかを、専門知識がなくてもわかるように整理します。

どのバージョンが対象で、どう更新すればいいのか

まず結論から書きます。対象は15.5.4以前のすべてのServ-Uで、修正前の15.5.4本体（ホットフィックス未適用）も含まれます。修正版は15.5.4-hotfix-1です。これを適用すればこの問題は塞げます。

使っているバージョン	状態	いますべきこと
15.5.4-hotfix-1 以降	修正済み	対処は不要
15.5.4（ホットフィックス未適用）	影響あり	hotfix-1を適用する
15.5.4より前すべて（15.5.x / 15.4.x ほか）	影響あり	最新版へ更新し hotfix-1を適用

更新は、SolarWinds公式のセキュリティアドバイザリとリリースノートの手順に従って行います。すぐにホットフィックスを当てられない事情がある場合は、後述の応急策をとったうえで、できるだけ早く適用してください。CISAのKEV登録では、対処が間に合わない場合は製品の使用を一時停止することも選択肢として示されています。それだけ切迫した位置づけだということです。

何が起きるのか。細工した通信1つでファイル転送サーバーが落ちる

Serv-Uは、企業が取引先や拠点間で大きなファイルを安全に受け渡すための「マネージドファイル転送（MFT）」と呼ばれるサーバーソフトです。社外ともやり取りする性質上、インターネットに面して動いていることが多く、攻撃者から直接見える場所に置かれがちです。

今回の問題は、攻撃者が特定の細工をしたWeb通信（POSTリクエスト）をServ-Uに送りつけると、サービスそのものがクラッシュして止まってしまう点です。具体的には、データを圧縮して送るための指定（HTTPヘッダーの「Content-Encoding: deflate」）を悪用した細工で、サーバーの処理が破綻します。技術的な分類では「リソースの消費を制御できない欠陥（CWE-400）」にあたり、サーバーに過剰な負荷をかけてサービスを使えなくする、いわゆるサービス妨害（DoS）です。

CVE-2026-28318：無認証の細工POSTでServ-Uサービスがクラッシュする

この欠陥にはCVE-2026-28318という管理番号が割り当てられています。NVD（米国の脆弱性データベース）の記述によれば、攻撃に認証（ログイン）は不要です。CVSSの内訳を読み解くと、ネットワーク越しに（AV:N）、特別な権限なしで（PR:N）、利用者の操作も介さず（UI:N）攻撃が成立し、影響は「可用性（サービスが使えること）」だけに出ます（C:N/I:N/A:H）。つまり、情報が盗まれたり書き換えられたりするタイプではなく、サーバーを停止させてファイルのやり取りを止めるタイプの攻撃です。

「情報が漏れないなら大したことないのでは」と思うかもしれません。しかし、ファイル転送基盤が止まれば、取引先との納品・請求・受発注のやり取りがその場で滞ります。しかも今回は理論上の話ではなく、CISAが「現に悪用されている」と認定してKEVに登録したものです。攻撃者がログインもいらずに外から一撃でサービスを落とせて、それが実際に使われている、というのが本件の中身です。

この穴を、どんな人が、何のために狙うのか

この脆弱性の怖さは、何かを盗まれることではなく、会社のファイルの受け渡しという業務の動脈を、パスワードもログインもなしに外から黙らせられる点にあります。狙ってくるのは、取引や納品を妨害したい競合や恨みを抱えた元関係者、世間を騒がせたい愉快犯やハクティビスト、そして別の本命の攻撃を隠すために監視やログを一時的に止めたい侵入者です。彼らが奪うのは情報そのものではなく、「ファイルのやり取りが当たり前に回る」という日常のほうです。細工したリクエストをたった1つ送り込まれた瞬間、Serv-Uは落ち、社内外のファイル授受がその場で止められてしまいます。

サービスが止まれば被害は1台の停止では終わりません。納品データや請求書、受発注のファイルが期日どおりに渡らず、取引先への遅延と謝罪、信用の低下へとつながります。さらに厄介なのは、復旧対応に人手と注意が奪われている隙を突いて、本命のランサムウェアや情報窃取を仕掛ける「陽動」としてサービス停止が使われるパターンです。Serv-Uは過去にもランサムウェア攻撃の足がかりとして悪用された経緯があり、サービス停止が単独の嫌がらせで終わるとは限りません。

そして、止まったサービスの損失と後始末は、ファイル転送基盤を運用する企業の情報システム部門に返ってきます。サービス停止による業務の損失、取引先との約束（SLA）の不履行、原因調査と復旧の負担、そして「なぜ放置していたのか」という説明責任までを背負うことになります。CISAが連邦機関に6月19日までの対処を命じたのは、これが「いつか対応すればよい」話ではなく、現に攻撃が起きている案件だからです。CVSSの7.5やDoSという分類以上に、すでに悪用が始まっているという事実こそが、いま手を打つかどうかの分かれ目になります。

なぜSolarWinds Serv-Uは何度も狙われるのか

Serv-Uが攻撃者に狙われるのは、今回が初めてではありません。CISAのKEVカタログには、すでに過去に3件のServ-Uの脆弱性が登録されています。2021年にはリモートでコードを実行される欠陥（CVE-2021-35211）がランサムウェア攻撃に使われたことが確認され、2024年にはファイルの中身を盗み見られるパストラバーサルの欠陥（CVE-2024-28995）も登録されました。今回のCVE-2026-28318は、Serv-Uにとって4件目のKEV入りです。

背景には、マネージドファイル転送という製品の性質があります。MFTは社外と大きなファイルをやり取りするためにインターネットに面して置かれ、しかも企業の重要なデータが日常的に通過します。攻撃者から見れば「ネットから直接たたけて、止めれば業務が止まり、うまくいけば中身も奪える」格好の標的です。同じくファイル転送・共有の基盤であるIBM AsperaやGladinet Triofoxでも、ここ数か月で重大な脆弱性が相次いで見つかっています。

さらにSolarWindsという名前には、2020年に同社の監視製品が大規模なサプライチェーン攻撃の起点になった歴史もあります。攻撃者にとってSolarWinds製品は引き続き優先的な調査対象であり、Serv-Uのように繰り返しKEVに載る製品は、新しい欠陥が出るたびに素早く攻撃に転用されやすいと考えておくのが現実的です。

公開から悪用認定までの流れ

この脆弱性は、データベースへの登録からわずか1日でKEV入りしています。すでに修正版は出ていますが、現に悪用されている状態です。時系列で整理します。

← スワイプで移動

すでに悪用されている。危険度と猶予をどう見るか

冷静に整理すると、この脆弱性で起きるのは「サービスの停止」であって、情報の漏えいやサーバーの乗っ取り（コード実行）ではありません。同じServ-Uでも、過去にKEV入りしたリモートコード実行の欠陥のように、サーバーを丸ごと支配されるタイプとは性質が違います。データが盗まれるわけではない、という点はまず押さえておくべきです。

一方で軽視できないのは、無認証で・ネット越しに・利用者の操作も不要でサービスを落とせるうえに、それがすでに現実の攻撃で使われている点です。CISAがKEVに登録するのは、攻撃の実証コードが理論上あるという段階ではなく、実際の悪用が観測された場合です。ファイル転送が止まること自体が業務に直結する損失であり、前述のとおり別の攻撃の陽動に使われる懸念もあります。「情報が漏れないから後回し」と判断するには、悪用が確認されているという事実が重すぎます。

CISAは連邦政府機関に2026年6月19日までの対処を義務づけました。これは連邦機関向けの命令ですが、悪用が確認されている以上、民間企業にとっても同じ緊急度で動くべき目安になります。インターネットに面したServ-Uを運用している組織は、この期限を自社の対応期限として扱うのが安全です。最近の身近なソフトの脆弱性と同様、「自社が使っている基盤に更新が要る」と気づいて素早く当てられるかどうかが、被害の有無を分けます。

いま何をすればいいのか

Serv-Uを運用している組織がやるべきことは、ホットフィックスの適用が中心です。手順は次のとおりです。

運用中のServ-Uのバージョンを確認し、15.5.4-hotfix-1より前であれば対象と判断する
SolarWinds公式アドバイザリとリリースノートの手順に従い、15.5.4-hotfix-1を適用する
すぐに適用できない場合は、Serv-Uの管理画面（Web/HTTP）をインターネットに直接さらさないよう、社内ネットワークやVPN経由に限定したり、アクセス元IPを絞ったりして攻撃面を減らす
サービスのクラッシュや不審なPOSTリクエストがないか、ログと死活監視を強化する
対処が完了するまでは、CISAが示すとおり「製品の一時停止」も選択肢として検討する

特に、Serv-UのWeb管理機能やファイル受け渡しの口をインターネットに公開したまま運用している場合は、優先度を上げて対応してください。今回の攻撃はその公開された口に細工した通信を送るだけで成立するため、外から到達できる状態を放置するほどリスクが高まります。社内で複数台のServ-Uを運用している場合は、棚卸しのうえで一括して更新を進めるのが確実です。

よくある質問

Q. この脆弱性でファイルやデータは盗まれますか。

いいえ。CVE-2026-28318は、サーバーを停止させる「サービス妨害（DoS）」の脆弱性です。CVSSの内訳でも影響は可用性のみ（情報の機密性・完全性への影響なし）とされています。情報の窃取やコード実行は起きませんが、サービスが止まること自体が業務の損失につながり、別の攻撃の陽動に使われる懸念もあります。

Q. どのバージョンに更新すればいいですか。

15.5.4-hotfix-1以降に更新してください。修正前の15.5.4本体（ホットフィックス未適用）も影響を受けます。SolarWindsの公式アドバイザリとリリースノートに、対象バージョンと適用手順がまとまっています。

Q. すでに攻撃に使われていますか。

はい。米CISAは2026年6月5日に本件を「実際に攻撃に使われている脆弱性」としてKEVカタログに追加し、連邦政府機関に6月19日までの対処を義務づけました。KEVへの登録は、現実の悪用が観測されたことを意味します。

Q. すぐにホットフィックスを当てられない場合はどうすればいいですか。

Serv-Uの管理・受け渡しの口をインターネットに直接公開しないよう、VPNや社内ネットワーク経由に限定し、アクセス元を絞って攻撃面を減らしてください。あわせてサービスの死活監視と不審な通信のログ確認を強化します。それでも対処が間に合わない場合は、CISAが示すとおり製品の一時停止も検討してください。

まとめ

CVE-2026-28318は、企業のファイル転送基盤SolarWinds Serv-Uにある脆弱性で、攻撃者が認証なしに細工した通信を1つ送るだけでサービスを停止させられます。影響はサービス妨害（DoS）に限られ、情報の窃取やサーバーの乗っ取りは起きませんが、米CISAが2026年6月5日に「実際に悪用されている」と認定してKEVカタログに登録し、連邦機関に6月19日までの対処を命じた、緊急度の高い案件です。

修正版の15.5.4-hotfix-1はすでに公開されています。Serv-Uを運用している組織は、バージョンを確認してホットフィックスを適用し、すぐに当てられない場合はインターネットへの公開を絞るなどの応急策をとってください。Serv-Uはこれで4度目のKEV入りであり、ファイル転送基盤が狙われ続けているという前提で、更新と監視を習慣づけることが最も確実な守りになります。