Weaver E-cology(泛微 OA)は中国企業を中心に幅広く使われているオフィスオートメーション(OA)プラットフォームだ。2026年3月中旬、このシステムの重大な脆弱性(CVE-2026-22679)を突いた実際の攻撃が確認された。ベンダーがセキュリティパッチをリリースしてからわずか5日後のことだ。「パッチが出たから安心」と思う間もなく、攻撃者は動き出していた。
何が起きたか
脆弱性の仕組み
CVE-2026-22679は、Weaver E-cology 10.0(2026年3月12日ビルド以前)に存在する未認証リモートコード実行(RCE)の欠陥だ。原因はシンプルかつ致命的──デバッグ用APIエンドポイントが本番環境にそのまま露出していた。
このエンドポイントは、バックエンドのRPC(Remote Procedure Call)機能に認証なしでアクセスできる状態だった。攻撃者は細工したパラメーターを送りつけるだけで、サーバー上でシステムコマンドを実行できた。実質的にリモートシェルと変わらない状況だ。
攻撃の流れ
脅威インテリジェンス企業Vegaの調査によれば、攻撃は以下の複数フェーズに分かれていた:
- RCE確認フェーズ: Goby(ペネトレーションテストツール)へのコールバックとしてpingコマンドを実行し、RCEが機能することを確認
- ペイロード配信フェーズ: PowerShellを使った複数のペイロードダウンロードを試みる → エンドポイント防御にブロックされる
- MSIインストーラー試行: ターゲット環境向けのMSIファイル(fanwei0324.msi)の実行を試みる → 失敗
- 難読化フィルレスPowerShell: 検出回避のため、難読化したPowerShellでリモートスクリプトを繰り返し取得しようとする
- 偵察コマンド実行: 全フェーズを通じて
whoami、ipconfig、tasklistなどの偵察コマンドを実行
注目すべきは、攻撃者はRCEを確立できていたにもかかわらず、永続的なセッションを最終的に確立できなかった点だ。エンドポイント防御が機能していたことが被害拡大を防いだ。
修正内容
ベンダーの修正(ビルド 20260312)は、問題のデバッグエンドポイントを完全に削除した。回避策や代替ミティゲーションは存在せず、アップグレード一択だ。
実務への影響
Weaver E-cologyは主に中国企業向けのシステムだが、この事例から日本のエンジニア・IT管理者が学べることは多い。
デバッグAPIの棚卸しを今すぐ
本番環境に残ったデバッグエンドポイントは、攻撃者にとって「鍵のかかっていない裏口」だ。自社が管理するWebアプリケーションや業務システムについて、以下を確認したい:
- デバッグモードやメンテナンス用エンドポイントが本番環境に残っていないか
- 管理系APIへのアクセスが適切な認証・認可で保護されているか
- エンドポイントへのアクセスログを定期的にレビューしているか
パッチ適用の速度が勝負を分ける
CVE-2026-22679の攻撃はパッチリリースの5日後に始まり、CVEの公式公開の2週間前にはすでに攻撃が実行されていた。攻撃者はパッチを「逆解析」して脆弱点を割り出し、CVEが正式に公開される前から動いていたと考えられる。
「CVEが公開されてから対応する」では遅すぎる。ベンダーのセキュリティアドバイザリを直接購読し、パッチリリース段階で即時対応できる体制を整えることが重要だ。
エンドポイント防御の多層化
今回の攻撃では、エンドポイント防御がペイロード配信を複数回ブロックしている。RCEの入り口を塞ぐことが第一優先だが、それだけに依存せず、エンドポイントでの検知・遮断が設計として正しく機能しているかを定期的に検証することも必要だ。
筆者の見解
セキュリティ分野は正直得意分野とは言いにくいが、この脆弱性は技術的に非常に「教科書的」な失敗であり、見逃せない事例だ。
デバッグAPIの本番残留は、開発の利便性とセキュリティのトレードオフを間違えた典型例だ。「開発中は便利だから残しておこう」という判断が、本番環境で致命的な穴になる。これはWeaver E-cologyだけの問題ではなく、あらゆるシステムに潜むリスクだ。
今回の構造的欠陥として特に注目したいのが「認証なしのRPC到達」という設計だ。ゼロトラストの観点からいえば、すべてのエンドポイントはデフォルトで信頼しないものとして設計しなければならない。「内部ネットワークだから大丈夫」「デバッグ用だから認証不要でいい」という発想が、まさに旧来のセキュリティ思想の残滓であり、今も多くのシステムに潜んでいる。
攻撃者が永続セッションを確立できなかったことは結果的に幸いだったが、侵入がゼロデイではなく既知の脆弱性を突いたものである以上、エンドポイント防御が「設計として」機能したのか「たまたま」機能したのかを、きちんと事後検証する必要がある。
「今動いているから大丈夫」は通用しない時代だ。攻撃者は常にパッチより先に動き出している。
出典: この記事は Weaver E-cology critical bug exploited in attacks since March の内容をもとに、筆者の見解を加えて独自に執筆したものです。