CISA Warns of ConnectWise ScreenConnect Flaw Exploited in Attacks
2026/04/29 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、ConnectWise ScreenConnect に存在する深刻なセキュリティ欠陥について緊急警告を発出した。すでに実環境の攻撃で悪用が確認されている、深刻な脆弱性 CVE-2024-1708 について報告を受けた CISA が、2026年4月28日付けで Known Exploited Vulnerabilities (KEV) カタログに追加した。この警告は、政府機関および民間組織のネットワークに対して、速やかなセキュリティ対策を促す重大なものである。
ConnectWise ScreenConnect の脆弱性
ConnectWise ScreenConnect は広く利用されるリモート・デスクトップおよび IT サポート・アプリケーションであり、クライアント端末へのアクセスを、IT チームに提供するものである。この利便性の高さが原因となり、ソフトウェア内のセキュリティ上の弱点を突く攻撃者にとって、きわめて魅力的な標的となりやすい。
この種のツールは、正当なリモート管理のために、標準的なネットワーク境界を迂回する設計を持つため、攻撃者にアクセスを獲得されてしまうと、企業ネットワーク全体へのラテラル・ムーブメントが容易となる。
脆弱性 CVE-2024-1708 はパス・トラバーサルの欠陥 (CWE-22) に分類されており、アプリケーションを欺く攻撃者に対して、制限された安全なディレクトリ外にある、ファイルの読み書きを許すものである。
この欠陥を悪用する未認証のリモート攻撃者は、システム内部の機密ファイルなどの閲覧や、重要データの改竄および任意コード実行を可能にする恐れがある。その結果、重要システムに対する完全な制御の奪取に至ることもある。
現時点では、ランサムウェアの展開に悪用された事実は確認されていないが、システムが完全に侵害されるリスクが懸念される。
対応策
被害を最小化するために CISA は、Binding Operational Directive (BOD) 22-01 に基づく厳格な対応期限を設定した。それにより、連邦機関には脆弱性に対して迅速にパッチを適用する義務が課され、2026年5月12日までの対応が求められている。この指令は連邦機関を対象としたものであるが、CISA は民間企業に対しても、同様のスケジュールで緊急対応にあたるよう強く推奨している。
これを受け、IT チームおよびセキュリティ担当者は、直ちに対応を開始する必要がある。パッチ未適用の状態を放置することは、攻撃者に対して直接的かつ容易な侵入経路を提供し続けることに他ならない。以下の対策を、速やかに講じる必要がある。
- ConnectWise の公式手順に従い、最新のセキュリティ・パッチを即時適用する。
- クラウド・サービスの設定を見直し、BOD 22-01 のセキュリティ指針に準拠させる。
- ネットワーク・ログを監視し、異常なファイル・アクセス要求やパス・トラバーサル攻撃の兆候を検知する。
- 環境全体に展開されているリモート・アクセス・ツールに対して、包括的なセキュリティ監査を実施する。
- 適切な緩和策またはパッチ適用が不可能な場合には、ConnectWise ScreenConnect の使用を停止する。
この脆弱性は、リモート・アクセス基盤に大きな影響を及ぼすため、きわめて高い優先度で取り扱うべきである。
訳者後書:脆弱性 CVE-2024-1708 は、プログラムが想定していない場所にあるファイルへのアクセスを許してしまう、パス・トラバーサルに起因します。本来であれば、アプリケーションは特定の安全なフォルダの中だけで動作するべきですが、入力値のチェックが不十分だと、その制限を攻撃者がすり抜けてしまいます。リモート・デスクトップのような強力な権限を持つツールに、この問題が起きると、システムの根幹を揺るがす大きなリスクにつながります。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.