ScreenConnect Vulnerability Allows Hackers to Extract Unique Machine Keys and Hijack Sessions
2026/03/18 CyberSecurityNews — ConnectWise が公開したのは、同社のリモート・デスクトップ・ソフトウェア ScreenConnect に関する緊急のセキュリティ・アドバイザリである。この脆弱性 CVE-2026-3564 (CVSS:9.0:Critical) を悪用する未認証の攻撃者は、サーバ・レベルのマシンキーを抽出し、セッション認証を乗っ取る可能性がある。この脆弱性の影響が及ぶ範囲は、ScreenConnect バージョン 26.1 未満である。
この問題の本質は、旧バージョンにおけるマシンキーおよび暗号識別子の保存方法にある。それらのマシン・キーは、サーバ・インスタンスごとに固有のものであるが、設定ファイル内に平文で保存されていた。そのため特定の条件下において、ファイル・システムやコンフィグ・データにアクセス可能な攻撃者が、特権を必要とせずに、それらの情報を取得する可能性がある。
ScreenConnect 脆弱性:キー抽出
不正に取得されたマシン・キーを悪用する攻撃者は、セッション・トークンを偽造/操作し、正規のセッションを装うことでアクセス制御を回避できる。この脆弱性は、CWE-347 (暗号署名の不適切な検証) に分類される。根本的な原因は、信頼を成立させる前の不適切な検証により、認証判断に使用される暗号コンポーネントの完全性に不具合が生じた点にある。
CVSS ベクターは、ネットワーク経由での悪用が可能であり、高度な権限やユーザー操作を必要としないことを示している。また、攻撃の複雑度は低く、広範囲に影響が及ぶリスクがある。さらにスコープは Changed とされており、脆弱なコンポーネントだけではなく、他のリソースに影響が及ぶ可能性を示している。この特性は、企業のリモート・アクセス環境において、深刻なリスクとなる。
ConnectWise はこの脆弱性を Priority 1 (High) と評価しており、実環境での悪用リスクが極めて高い状態であることを示している。オンプレミス環境で ScreenConnect を運用する組織は特に影響を受けやすく、アドバイザリ公開から数日以内の緊急対応が求められる。
修正内容と対策
ScreenConnect の最新バージョン 26.1 は、マシン・キーの暗号化保存および鍵管理の強化を導入し、この脆弱性に対処している。それにより、サーバの完全性が部分的に侵害された場合であっても、不正なキー抽出リスクが大幅に低減される。
オンプレミス環境では、ScreenConnect を手動でバージョン 26.1 にアップグレードする必要がある。アップグレードに際しては、ライセンスの状態を確認し、必要に応じてメンテナンス契約の更新を行う必要がある。
その一方で、クラウド・ホスト型の ScreenConnect インスタンスについては、すでに ConnectWise によるバックエンドでの緩和策が適用されているため、ユーザー側の対応は不要となっている。
この脆弱性の CVSS スコアは Critical 水準であり、Priority 1 (High) に分類されている。セキュリティ・チームにとって必要なことは、パッチ適用を最優先で実施し、セッション・ログの監査により、不審な認証挙動や過去の悪用試行の有無を確認することだ。
訳者後書:この脆弱性 CVE-2026-3564 の原因は、本来であれば厳重に管理されるべき認証用のマシン・キーが、設定ファイル内に平文で保存されていたことにあります。認証の根幹を支えるデータが、読み取り可能な状態で配置されていたことで、特別な権限を持たない攻撃者であっても、情報の取得が容易に行える状況にありました。その結果、認証トークンの偽造が可能となり、正規のユーザーを装う攻撃者に対して、システムへの侵入を許すリスクが生じています。データの保存方法や検証プロセスの不備が、システム全体の信頼性を損なう深刻な事態に直結しています。運用中の環境が、バージョン 26.1 以上に更新されていることを速やかに確認する必要があります。よろしければ、ScreenConnect での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.