PTCのPLMソフトに緊急レベルの脆弱性——ドイツ警察が夜中に企業へ警告に駆けつける事態に
PTC社は、同社の製品ライフサイクル管理(PLM)ソフトウェア「Windchill」および「FlexPLM」に深刻なリモートコード実行(RCE)の脆弱性が存在すると警告した。識別子は CVE-2026-4681 で、信頼済みデータのデシリアライゼーション処理を悪用することで攻撃が成立する。
ドイツ連邦警察が異例の緊急対応
今回の脆弱性で特筆すべきは、ドイツ当局の異例な動きだ。ドイツ連邦刑事庁(BKA)は週末、捜査官を国内の企業に直接派遣し、この脆弱性に関するPTCの通知文書を手渡した。深夜にシステム管理者を叩き起こしてまで警告に当たったケースもあり、対象製品を使用していない企業にまで連絡が届いたという。各州の州刑事庁(LKA)にも同様の通知が行われており、当局の危機感の高さが窺える。
PTCは顧客向けメールの中で「第三者グループによるこの脆弱性の即時悪用が差し迫っている、という信頼性の高い情報がある」と述べており、現時点での実害報告はないものの、攻撃が極めて近い段階にあると見られている。
未パッチ——今すぐできる緩和策を適用せよ
正式なパッチはまだリリースされていない。PTCは「すべてのサポート対象Windchillバージョン向けにセキュリティパッチを鋭意開発・リリース中」としている。脆弱性はすべての重要パッチセット(CPS)バージョンを含む、ほぼ全バージョンに影響する。
パッチが提供されるまでの緩和策として、PTCはApache/IIS向けのルール設定により、影響を受けるサーブレットパスへのアクセスを拒否することを推奨している。この緩和策は機能に影響しないとされている。
適用対象はインターネット公開インスタンスだけでなく、Windchill・FlexPLM・ファイルサーバー・レプリカサーバーを含むすべての展開環境だ。ただし、インターネットに公開されているインスタンスを優先すること。緩和策の適用が不可能な場合は、該当インスタンスをインターネットから切断するか、サービスを一時停止することを推奨している。
侵害指標(IoC)も公開——既に侵入されていないか確認を
PTCは侵害を示す具体的な指標(IoC)も公開した。確認すべき項目は以下の通り。
- ファイル:
GW.class、payload.bin、dpr_<ランダム文字列>.jspなどのウェブシェル - 不審なリクエスト:
run?p=や.jsp?c=を含むパターンと、異常なUser-Agent文字列の組み合わせ - エラーログ:
GW、GW_READY_OK、または予期しないゲートウェイ例外の参照
PTCによれば、GW.class または dpr_<8桁16進数>.jsp がWindchillサーバー上に存在する場合、攻撃者がRCEを実行する前段階の「武器化」をすでに完了していることを意味する。
製造業・防衛産業への影響が懸念される背景
WindchillとFlexPLMは製品設計・製造工程の管理に広く使われており、兵器システムの設計を行う防衛関連企業や重要インフラを担う製造業でも採用されている。当局が異例の対応に踏み切った背景には、産業スパイや国家安全保障上のリスクへの強い懸念があると見られている。
WindchillやFlexPLMを利用している組織は、直ちに緩和策を適用し、IoC確認による侵害チェックを実施することが強く推奨される。
元記事: PTC warns of imminent threat from critical Windchill, FlexPLM RCE bug