今週の攻撃事例まとめ:CISA KEV追加・RMM悪用・OT認証不備が示す共通課題

今週の攻撃事例:CISA KEV9件追加・RMM悪用・OT認証不備 インシデント事例
2026.04.23
この記事は約8分で読めます。

2026年4月第3週(4月14〜18日)、サイバーセキュリティ分野で注目すべき3つの事例が重なりました。米CISAが既知悪用脆弱性カタログ(KEV)に9件を一括追加、RMM1(リモート監視・管理ツール)を侵入起点とする攻撃事案が複数浮上、さらに産業制御システム(OT2)における認証不備を突いた不正アクセスも報告されています。いずれも「既知の弱点への対処が追いついていない」という構造的課題を映しており、情シス責任者・CISOが週明けに優先判断すべき材料として整理します。

CISA KEVへの9件一括追加が意味するもの

CISA(米サイバーセキュリティ・インフラセキュリティ庁)は2026年4月15日、KEV(既知悪用脆弱性カタログ)に脆弱性を9件追加し、米連邦機関に対して4月29日までの修正対応を義務付けました。今回追加された脆弱性には、Windowsコンポーネント、VPNアプライアンス、Webアプリケーションフレームワークに関するものが含まれており、いずれも実際に攻撃者による悪用が確認されています。

KEVは「理論上のリスク」ではなく「すでに武器化された脆弱性」を収録するカタログです。民間企業への直接的な法的拘束力はありませんが、自社パッチ優先度の判断基準として信頼性が高く、参照することを推奨します。

類似の動きとして、2024年2月にもCISAがConnectWise ScreenConnect(RMMツールの一種)の脆弱性2件をKEVに緊急追加した事例があります。このときは公表からわずか48時間以内に攻撃コードが出回り、多数のMSP(マネージドサービスプロバイダー)経由で顧客環境への侵害が確認されました。今回の9件についても、KEV掲載済みであることは「すでに攻撃ツールキットに組み込まれている」と読む必要があります。

RMMツールが侵入起点として悪用された複数事案

2026年4月16〜17日にかけて、セキュリティ研究者・MSSPからの報告として、RMM(リモート監視・管理ツール。MSPが顧客のPC・サーバを遠隔で監視・操作するために使うエージェント型ソフトウェア群)を悪用した不正アクセス事案が複数確認されました。攻撃者は正規のRMMエージェントをバックドア代わりに展開し、EDR(エンドポイント検知・対応ツール)の検知をすり抜けながら横展開を行ったとされています。

RMM悪用の代表例として広く知られるのが2021年7月のKaseyaサプライチェーン攻撃です。ランサムウェアグループ「REvil」がKaseya VSAの脆弱性を突き、約1,500社のMSP顧客環境に一斉にランサムウェアを展開。製造業・小売業・医療機関など幅広い業種が被害を受けました。続いて2024年2月のConnectWise ScreenConnect事案でも同様の構造が確認されています。国内でも2025年9月に、MSPのRMMエージェントが悪用され複数の中堅製造業顧客のファイルサーバが暗号化されたとの報告があります。

攻撃者がRMMを好む理由は構造的です。正規ツールであるため通信がホワイトリスト化されている環境が多く、管理者権限で動作するため侵害後の横展開が容易で、1エージェントを掌握すれば接続先のすべての顧客環境に影響が及ぶ「1点突破・広域被害」の構造になっています。

OT環境の認証不備を突いた不正アクセス

2026年4月14日、製造業A社(詳細は非公表)のOT(運用技術)ネットワークで、認証なしでアクセス可能な状態だったPLC3(プログラマブル・ロジック・コントローラー。工場の機械制御を担う専用コンピューター)が外部から操作される事案が発生しました。同社は翌15日に公表し、生産ラインへの直接影響はなかったとしていますが、予防的措置として当該ラインを一時停止しています。

類似事例として想起されるのは2022年3月のトヨタ自動車サプライヤー「小島プレス工業」への攻撃です。不正アクセスによってサーバが侵害された結果、トヨタ国内全14工場の稼働が約1日停止しました。また2021年2月には米フロリダ州の水処理施設で、TeamViewerを介した遠隔操作によって塩素濃度が通常の111倍に引き上げられそうになった事案も記録されています。

OT環境に繰り返し指摘される問題は2点です。「設計時点でセキュリティを想定していない古いプロトコル・機器が現役で動き続けている」こと、そして「ITネットワークとの分離が名目上にすぎないケースがある」ことです。いずれも今回の事案に直結する構造的弱点です。

3事例が示す共通課題と対策

3件に共通するのは、いずれも既知の攻撃手口・既知の脆弱性・既知のリスク構造に対処できていなかったという点です。以下に対策を4軸で整理します。

設計

  • VPNアプライアンスやRMMエージェントはインターネット直接公開を最小化し、ゼロトラスト4型のアクセス制御(認証・認可・通信ログ)を実装することを推奨します。
  • PLCなどOT機器はITネットワークと物理的・論理的に分離し、アクセスはジャンプサーバ経由に限定する設計とする必要があります。
  • RMMエージェントへのアクセスはIPホワイトリスト+多要素認証(MFA)を原則とします。

運用

  • KEVリリース後5営業日以内のパッチ適用状況を確認する運用フローを設けることを推奨します(米連邦機関の期限を内部基準の参考値として活用する)。
  • RMMエージェントの新規インストール・バージョン変更を変更管理プロセスに組み込み、承認なき変更をアラート化します。
  • OT環境の資産台帳を半期ごとに棚卸しし、認証不要でアクセス可能な機器が存在しないか確認する必要があります。

ガバナンス

  • KEVカタログを経営報告に組み込み、「追加件数」「自社影響資産数」「対応済み件数」を月次で可視化することを推奨します。
  • OTセキュリティの責任分界点(工場側・IT側・ベンダー側)を書面で明確化し、インシデント時の連絡フローを年1回以上演習します。
  • MSPとの委託契約にMFA必須・ログ保全期間・脆弱性対応SLAを明記する必要があります。

サプライチェーン

  • RMMエージェントを自社環境に持ち込む取引先(MSP・設備ベンダー)を一覧化し、各社のパッチ対応状況・セキュリティ認証(ISO 27001等)を定期確認することを推奨します。
  • 委託先が侵害された際に自社環境への影響を最小化する「インシデント対応連絡義務条項」を契約書に盛り込みます。
  • 重要なOT設備の導入・更新時には「デフォルトパスワードの無効化」「不要なリモートアクセス機能の無効化」を受け入れ基準として文書化する必要があります。

一枚要約

  • 何が起きているか: 2026年4月第3週、CISA KEV9件追加・RMM悪用事案・OT認証不備の3事例が重なった。手口はいずれも新しくなく、既知リスクへの対処の遅れが共通の根因です。
  • 自社への影響: RMMを経由したMSP委託先からの侵害、VPN・Webアプリの未パッチ脆弱性の悪用、工場系OT機器への不正アクセスは、業種を問わず発生しうるリスクです。
  • 打つべき手: KEVと自社資産台帳の照合、RMMエージェントの棚卸しとMFA確認、OT環境の認証不要機器の有無確認を今週中に着手することを推奨します。

今日着手できる3アクション

  • KEV照合: CISAのKEVカタログ(`cisa.gov/known-exploited-vulnerabilities-catalog`)を開き、今回追加された9件の製品名と自社資産台帳を突き合わせます。対象資産が存在する場合はパッチ担当者にチケットを発行し、対応期限(5営業日を目安)を設定します。
  • RMM棚卸し: 社内および委託MSPを含め「どのRMMエージェントが、どの端末に、誰の承認でインストールされているか」を確認し、MFA未設定・バージョンが古いものをリスト化します。確認対象ツールの例: Kaseya VSA、ConnectWise Automate、Datto RMM、NinjaRMM。
  • OT資産確認: 工場・設備担当者に「インターネット側または社内ITネットワークから直接アクセスできる制御機器がないか」を確認するメールを送付し、回答期限(3営業日以内)を設けます。回答結果を情シス資産台帳に反映します。

AI×セキュリティの観点

RMM悪用やKEV対応遅延は、AIの普及によってさらに深刻化する可能性があります。攻撃者側では生成AIを活用したエクスプロイトコードの自動生成・難読化が容易になっており、KEV公表からPoC(概念実証コード)が出回るまでの時間が短縮される傾向が顕著です。防御側ではAIを活用した脆弱性優先度スコアリング(KEVデータと自社資産台帳の自動照合)やRMMエージェントの異常通信検知が実用段階に入りつつあります。OT分野でも、AIによる正常稼働パターンの学習からの逸脱を検知するアノマリー検知が工場セキュリティの標準的手法として採用が進んでいます。攻守のスピード差がAIによって拡大するなか、「既知の脆弱性への対処速度」が企業の防御力の差別化要因になりつつあります。

用語ミニ解説

  1. RMM — リモート監視・管理ツール。MSPが顧客のPC・サーバを遠隔で監視・操作・修正するために使うエージェント型ソフトウェア。攻撃者に乗っ取られると接続先の全顧客環境に横展開できるため、サプライチェーン攻撃の入口として狙われやすい。
  2. OT(運用技術) — 工場や電力・水道などのインフラを制御するシステム全般。ITとは異なりパッチ適用が生産停止を伴うケースも多く、古いプロトコルや認証機能が薄い機器が現役で動き続けていることが多い。
  3. PLC — プログラマブル・ロジック・コントローラー。製造ラインや設備の動作を制御する専用コンピューター。ネットワーク接続が進む一方で、設計当時のセキュリティ機能が薄いものも多く、認証不備が放置されやすい。
  4. ゼロトラスト — 「ネットワーク内部だからといって信頼しない」を原則とするセキュリティ設計思想。すべてのアクセスを認証・認可・ログ取得の対象とし、侵害の横展開を最小化する。
  5. CISA KEV — 米国サイバーセキュリティ・インフラセキュリティ庁が管理する「既知悪用脆弱性カタログ」。理論上のリスクではなく実際に攻撃者に悪用が確認された脆弱性のみを収録しており、パッチ優先度の判断基準として世界的に参照されている。

参考リンク

コメント

タイトルとURLをコピーしました