CISAが緊急警告：SolarWinds Serv-UのCVE-2026-28318が野放しで悪用中——認証不要でサーバーをクラッシュさせる攻撃を確認

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は2026年6月5日、SolarWindsのファイル転送ソフトウェア「Serv-U」に存在する高深刻度の脆弱性（CVE-2026-28318）が攻撃者に積極的に悪用されていると警告を発した。パッチリリースからわずか数日での悪用確認という異例の速さで、早急な対応が求められている。

CVE-2026-28318とは何か

Serv-UはWindowsおよびLinux向けのファイル転送ソフトウェアで、Managed File Transfer（MFT）やFTPサーバー機能を提供している。HTTP/HTTPS、FTP、FTPS、SFTPなど複数のプロトコルに対応しており、企業間の安全なファイル交換基盤として広く使われている製品だ。

今回の脆弱性は非制御なリソース消費（Uncontrolled Resource Consumption）に起因するもので、攻撃者がContent-Encoding: deflateを含む細工したPOSTリクエストを送信するだけで、Serv-Uサービスをクラッシュさせることができる。

特に危険なのは以下の点だ：

• 認証不要：ログイン済みアカウントを一切必要としない
• 低複雑度：攻撃の実行に高度な技術は要求されない
• ユーザー操作不要：被害者側の何らかのアクションを必要としない

つまり、インターネットに露出しているServ-Uサーバーは誰でも攻撃できる状態にある。

被害規模の現状

インターネットインテリジェンスプラットフォームのShodanが追跡したところ、現時点でインターネット上に露出しているServ-Uサーバーは1万2,000台超に上る。セキュリティ監視機関のShadowserverも約3,100台を確認しており、パッチ適用済みの台数は把握できていない。

SolarWindsは2026年6月にServ-U 15.5.4 Hotfix 1をリリースして修正済みだが、すでに攻撃が確認されている以上、「まだ大丈夫」は通用しない。

即時緩和策（パッチ適用ができない場合）

SolarWindsはパッチを即座に適用できない環境向けに、以下の暫定対策を推奨している：

• アクセス元を既知のIPアドレスのみに制限する
• Content-Encodingヘッダーを含むPOSTリクエストをすべてブロックする（Serv-Uはこの機能自体を必要としていない）

この2点はファイアウォールやリバースプロキシのルールで実装可能なため、パッチ適用の準備中であっても今すぐ対応できる。

CISAのKEVカタログ追加と政府機関への命令

CISAはCVE-2026-28318をKnown Exploited Vulnerabilities（KEV）カタログに追加し、Binding Operational Directive（BOD）22-01に基づき、米連邦文民行政機関（FCEB）に対して2026年6月19日までのパッチ適用を義務化した。

ただしCISAはこの命令が適用される政府機関だけでなく、民間企業を含むすべてのネットワーク防御担当者に対しても早急な対応を強く求めている。「この種の脆弱性は悪意ある攻撃者の典型的な攻撃手段であり、連邦エンタープライズに重大なリスクをもたらす」とCISAは述べている。

Serv-Uは繰り返し狙われてきた

Serv-Uは過去にも複数の重大な脆弱性が発見・悪用されており、SolarWinds製品全体では過去数年でCISAがKEVカタログに追加した脆弱性が11件にのぼる。

代表的な事例：

• 2021年：CVE-2021-35211（RCE）をClopランサムウェアグループが悪用し企業ネットワークに侵入。中国系ハッカーグループDEV-0322も同脆弱性をゼロデイとして利用
• 2024年6月：CVE-2024-28995（パストラバーサル）がGreyNoiseおよびRapid7によって積極的悪用と認定

この背景を踏まえると、Serv-Uは「価値ある標的」として攻撃者に認識されていることは明らかだ。

実務への影響

Serv-U利用企業がすぐ取るべきアクション：

優先度 アクション

最優先 Serv-U 15.5.4 Hotfix 1へのアップデート

即時 Content-Encodingを含むPOSTリクエストのブロック

即時 Serv-Uへのアクセスを既知IPに限定

確認 Shodan等でServ-Uがインターネット露出していないか確認

調査 ログを遡り不審なPOSTリクエストの有無を確認

Serv-Uのようなファイル転送サービスは社内外のデータ交換基盤として重要なポジションにある一方で、インターネットに直接露出させているケースも多い。「動いているから安全」という前提は危険であり、今すぐ露出状況と設定を確認することを強く勧める。

筆者の見解

Serv-Uの脆弱性が何度も繰り返し悪用されている現状を見ていると、「今動いているから大丈夫」という感覚が現場にどれだけ根付いているかがよくわかる。今回のCVE-2026-28318は認証すら不要で攻撃が成立する。つまり「うちのネットワークに侵入できるわけがない」という性善説的な前提が崩れたとき、一瞬でサービスを止められる設計になっている。

ファイル転送サービスがインターネット上に直接露出している構成自体、ゼロトラストの観点から見直しの余地がある。VPNすら不要にする方向でアーキテクチャを設計するならば、当然ファイル転送の経路も制御された接続のみにすべきだ。「外から直接Serv-Uに接続できる」状態は、そもそも設計として問題があると捉えるほうが正しい。

また、SolarWinds製品がCISAのKEVカタログに11件も掲載されているという事実は重い。特定のソフトウェアを使い続けることのリスクを、製品評価の文脈で改めて考える必要があるだろう。パッチ適用スピードと適用体制が整っているかどうか、今一度点検するいい機会だ。

出典: この記事は CISA: Hackers now exploit SolarWinds Serv-U flaw to crash servers の内容をもとに、筆者の見解を加えて独自に執筆したものです。