ニュース

「SolarWinds Serv-U」にDoS脆弱性(CVE-2026-28318)、悪用を確認 – CISA KEVカタログに追加

2026.06.11

概要

SolarWindsのファイル転送ソリューション「Serv-U」において、認証不要でサービスをクラッシュさせられるDoS脆弱性(CVE-2026-28318)が発見され、すでに悪用が確認されています。米国CISAは2026年6月5日にKEV(既知悪用脆弱性)カタログへ追加し、米行政機関に同月19日までの対応を義務付けました。CVSSv3.1スコア7.5(High)の本脆弱性は民間企業にとっても影響があり、修正済みバージョン「Serv-U 15.5.4 Hotfix 1」への早急なアップデートが求められます。

目次

  1. 何が起きたか
  2. 脆弱性の技術的詳細
  3. CISAの対応とKEVカタログ追加
  4. 修正パッチと緩和策
  5. 情シス担当者が優先すべき対策
  6. まとめ・YJKからのコメント
  7. 出典

1. 何が起きたか

SolarWindsは、同社のファイル転送ソリューション「Serv-U」にサービス拒否(DoS)の脆弱性が存在することを公表し、2026年6月4日(現地時間)に修正版「Serv-U 15.5.4 Hotfix 1」をリリースしました。

この脆弱性(CVE-2026-28318)は、攻撃者が細工した「Content-Encoding」ヘッダを含むPOSTリクエストを送信するだけで、認証なしにServ-Uサービスをクラッシュさせることができるというものです。

項目 内容
脆弱性ID CVE-2026-28318
種別 サービス拒否(DoS)
対象製品 SolarWinds Serv-U
修正版 Serv-U 15.5.4 Hotfix 1
CVSSv3.1スコア 7.5(High)
認証要否 不要(認証なしで攻撃可能)
悪用確認 あり(CISAがKEV追加)

2. 脆弱性の技術的詳細

CVE-2026-28318は、HTTPリクエストの「Content-Encoding」ヘッダの処理に問題があることが原因です。

攻撃者が細工した「Content-Encoding」ヘッダを含むPOSTリクエストを送信すると、Serv-Uがリソースを過剰消費し、サービスが異常終了(クラッシュ)します。この攻撃に認証情報は不要であるため、インターネットに公開されているServ-Uインスタンスが特に危険にさらされます。

主な脅威ポイント:

  • 攻撃に認証は一切不要
  • 単一のHTTPリクエストでサービスをクラッシュさせることが可能
  • ファイル転送サービスが停止するため、業務継続に直接影響
  • CVSSv3.1スコア7.5:攻撃の容易さと影響範囲から「High」評価

Serv-Uは企業内でのファイル転送、SFTP/FTPS/HTTPSサーバーとして広く使用されており、サービス停止が発生した場合のビジネス影響は小さくありません。

3. CISAの対応とKEVカタログ追加

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は2026年6月5日、CVE-2026-28318を「悪用が確認された脆弱性カタログ(KEV: Known Exploited Vulnerabilities)」へ追加しました。

KEVカタログへの追加は、実際の攻撃での悪用が確認されていることを意味します。

項目 内容
KEV追加日 2026年6月5日
米行政機関対応期限 2026年6月19日
対応義務 連邦政府機関に対して修正適用を義務化

米行政機関に対しては2026年6月19日までに対策を完了するよう義務付けており、民間企業に対してもCISAは注意喚起を行っています。KEVカタログに追加された脆弱性は攻撃者に活発に利用されているため、民間企業も政府機関と同等の緊急度で対応を進めることが推奨されます。

4. 修正パッチと緩和策

SolarWindsは、本脆弱性に対応するパッチをすでにリリースしています。

推奨アクション(優先順位順):

  1. 即時アップデート: 「Serv-U 15.5.4 Hotfix 1」に更新する
  2. WAFによるアクセス制限: すぐにアップデートできない場合、ウェブアプリケーションファイアウォール(WAF)を使って不審な「Content-Encoding」ヘッダを含むリクエストをブロックする
  3. アクセス制御の強化: Serv-Uへのアクセスを必要なIPアドレス・ネットワークに限定する

SolarWindsが案内する緩和策としては、WAFによるアクセス制限が挙げられていますが、これはあくまでも暫定措置です。根本的な対応はパッチ適用となります。

5. 情シス担当者が優先すべき対策

本脆弱性の深刻度と悪用確認の事実を踏まえ、以下の4点を優先的に実施してください。

  1. Serv-U利用有無の確認
    自社環境にSolarWinds Serv-Uが導入されているか、バージョンを確認します。特にインターネットに公開されているインスタンスは最優先での確認が必要です。

  2. パッチの緊急適用
    「Serv-U 15.5.4 Hotfix 1」が未適用の場合、CISA KEV追加の事実を根拠に緊急変更として対応を承認し、即時適用します。

  3. 暫定緩和策の実施
    パッチ適用まで時間がかかる場合、WAFで不審なContent-Encodingヘッダを含むPOSTリクエストをブロックし、Serv-UへのアクセスをVPNや内部ネットワーク経由に限定します。

  4. インシデント対応計画の確認
    Serv-Uが停止した場合のファイル転送代替手段と、サービス停止時のエスカレーション手順をあらかじめ確認・周知しておきます。

6. まとめ・YJKからのコメント

CVE-2026-28318は認証不要で悪用できるDoS脆弱性であり、CISAがKEVカタログに追加したことで実攻撃での利用が確認されています。Serv-Uを利用している組織は「Serv-U 15.5.4 Hotfix 1」へのアップデートを最優先で実施し、適用完了まではWAFによる緩和策を並行して運用することが重要です。

YJKからのコメントとして、KEVカタログに追加された脆弱性は「いつか対応すればよい」ではなく「今すぐ対応しなければならない」水準の緊急性を持つものと認識してください。対応の優先順位づけに迷う際は、「インターネット公開資産→内部サービス」の順で棚卸しを行い、露出面の高いものから順次パッチを適用するアプローチが有効です。

自社のセキュリティ対応状況を確認したい、パッチ適用の優先度判断や脆弱性管理の仕組み作りを相談したい場合は、Microsoftパートナー企業のYJKにお気軽にお問い合わせください。

YJKにセキュリティ対応を相談する

出典

ニュース一覧に戻る