Progress ShareFile に認証不要のRCE脆弱性チェーン — 3万台が公開露出、即時パッチ適用を

エンタープライズ向けのセキュアファイル転送製品「Progress ShareFile」に、認証なしでリモートコード実行（RCE）まで到達できる深刻な脆弱性チェーンが発見された。既にPoCの詳細が公開されており、パッチ未適用環境への攻撃が現実的な脅威となっている。

何が見つかったのか

オフェンシブセキュリティ企業のwatchTowrは、Progress ShareFile の Storage Zones Controller（SZC）コンポーネント（ブランチ5.x）に2つの脆弱性を発見した。

• CVE-2026-2699（認証バイパス）: HTTPリダイレクトの不正な処理により、未認証のままShareFile管理インターフェースへアクセスできる。
• CVE-2026-2701（リモートコード実行）: ファイルアップロード・展開機能を悪用し、アプリケーションのWebルートに悪意のあるASPX Webシェルを設置できる。

この2つを連鎖させた攻撃シナリオでは、攻撃者はまずCVE-2026-2699で管理画面に侵入し、ストレージゾーンの設定変更やパスフレーズ関連のシークレット値を制御下に置く。次にその情報を使って有効なHMAC署名を生成し、CVE-2026-2701でWebシェルを展開してサーバー上での任意コード実行を達成する。

認証なしでここまで到達できる「pre-auth RCE」という点が、このチェーンの最大の危険性だ。

なぜこれが重要か — ファイル転送製品は標的にされやすい

ファイル転送・共有製品はランサムウェア集団や国家系脅威アクターが好んで狙うカテゴリだ。過去を振り返れば、Accellion FTA、GoAnywhere MFT、MOVEit Transfer、Cleo といった製品の脆弱性が相次いでClopをはじめとするランサムウェアグループに悪用され、大規模なデータ漏洩につながっている。

ShareFileも同様に、大企業・中堅企業が機密文書をやり取りするために使う製品であり、一度侵害されると内部の重要ファイルへのアクセスが容易になる。watchTowrのスキャンによれば、Storage Zone Controllerはインターネット上に約3万台が公開露出しており、ShadowServer Foundationも700台のインスタンスを観測している（多くが米国・欧州）。

日本国内での利用実態は公表されていないが、グローバルなSaaSやハイブリッドクラウド環境を持つ企業では、SZCをオンプレミスまたはプライベートクラウドに構築しているケースが存在する。自社環境でShareFile SZCを運用している場合は即刻確認が必要だ。

実務での対応ポイント

1. バージョン確認と即時パッチ適用 Progress は2026年3月10日に修正版「ShareFile 5.12.4」をリリース済みだ。SZCのバージョンが5.12.4未満であれば、最優先でアップデートする。

2. ネットワーク露出の最小化 SZCをインターネットに直接公開している場合は、VPNやプライベートネットワーク経由のアクセスに限定する。公開が必要な場合もWAF・IPホワイトリストで防御層を追加する。

3. 侵害痕跡（IoC）の確認 Webルート配下に不審なASPXファイルが存在しないか確認する。管理画面へのアクセスログや設定変更履歴を遡り、異常なアクセスがないかチェックする。

4. HMAC関連シークレットの再生成 パッチ適用後、ゾーンパスフレーズや関連シークレットを新しい値にローテーションする。攻撃者が侵害前に値を取得している可能性を考慮するためだ。

筆者の見解

今回の脆弱性は「個別の欠陥が軽微に見えても、組み合わせると壊滅的になる」という脆弱性チェーンの典型例だ。CVE-2026-2699単体では情報漏洩止まりのように見えるが、CVE-2026-2701と組み合わせることでサーバー完全掌握まで一直線に繋がる。

ファイル転送製品の脆弱性が繰り返し大規模攻撃に悪用されている現状を見ると、これらの製品に対するセキュリティ成熟度の低さが業界全体の課題として浮かび上がる。「ファイルを安全に送れればいい」というプロダクト観から、「常時攻撃にさらされている前提でハードニングする」発想への転換が求められている。

幸い今回は公開前にResponsible Disclosureが機能し、修正版が先にリリースされている。しかしwatchTowrが技術詳細を公開した以上、攻撃者がエクスプロイトを実装するのは時間の問題だ。「パッチが出ている」という安心感で対応を先送りにするのではなく、72時間以内の適用を目標に動いてほしい。

MOVEit、Cleo、そして今回のShareFile——この系譜を見るたびに、エンタープライズのファイル転送インフラがいかに攻撃面として見逃されてきたかを痛感する。次のターゲットが何かは分からないが、「自社で使っているファイル転送製品の脆弱性を定期的にトラッキングする」習慣を今すぐ組織に根付かせるべきだろう。

出典: この記事は New Progress ShareFile flaws can be chained in pre-auth RCE attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。