4社のメーカーのIP-KVMに脆弱性があることが明らかに

https://gigazine.net/news/20260318-ip-kvm-vulnerabilities/ (03/18)

元記事

Your KVM is the Weak Link: How $30 Devices Can Own Your Entire Network - Eclypsium | Supply Chain Security for the Modern Enterprise (03/17)

元記事のAIまとめ

このレポートは、安価なIP-KVM（ネットワーク経由でPCやサーバーを操作するデバイス）が、組織全体のネットワークを脅かす「重大な脆弱点」になっていることを警告する内容です。

---

 記事の主な要点

1. 調査の背景：低価格IP-KVMの普及

• かつて数千ドルしたIP-KVMが、現在は30ドル〜100ドル程度の安価なデバイス（GL-iNet, Sipeed, JetKVM, Angeetなど）として普及しています。
• これらのデバイスはサーバーのキーボード・マウス・画面を直接制御し、OS以下のレイヤー（BIOS/UEFI）にもアクセスできるため、極めて高い権限を持っています。

2. 発見された深刻な脆弱性

Eclypsiumの研究者は、主要な4メーカー（計9モデル）において、驚くほど基本的なセキュリティ欠陥を多数発見しました。

• 認証のバイパスとルート権限の奪取: 認証なしでシステムを完全に制御できるケースが確認されました。
• 安全でないサプライチェーン: ファームウェアの署名検証がないため、悪意のあるアップデートを容易に流し込める状態でした。
• クラウド連携の不備: デフォルトでメーカーのクラウドに接続される設定が多く、インターネット経由で外部から攻撃されるリスクがあります。
• ずさんな実装: ログイン試行回数の制限（レートリミット）がなく、ブルートフォース攻撃で簡単にパスワードが突破されるものもありました。

3. なぜ「全ネットワーク」が支配されるのか

IP-KVMが侵害されると、攻撃者は以下のことが可能になります。

• 物理レベルの操作: OSのパスワードを無視してBIOS設定を変更したり、OSを再インストールしたりする。
• バックドアの設置: ネットワーク内の「踏み台」として、他のサーバーやデバイスへ攻撃を拡大する。
• データの窃取: 画面のキャプチャやキー入力のログ（キーロガー）を取得する。

4. 結論と提言

研究者は、これらのデバイスが「基本的なセキュリティ対策すら施されていない」と厳しく指摘しています。

「これらはリバースエンジニアリングで数ヶ月かけて見つけるような高度なバグではなく、ネットワーク機器として当然備わっているべき機能の欠如である」

---

 対策のアドバイス

もしこれらの安価なIP-KVMを使用している場合は、以下の対応が推奨されます。

• ファームウェアの更新: メーカーから修正パッチが出ているか確認し、即座に適用する。
• ネットワークの分離: IP-KVMを管理専用の隔離されたネットワーク（VLAN）に配置し、インターネットから直接アクセスできないようにする。
• デフォルト設定の変更: 初期パスワードの変更や、不要なクラウド接続機能の無効化を行う。

関連脆弱性

Eclypsiumが公開したレポートに基づき、対象となった4メーカー、計9つの脆弱性（CVE番号）とそれぞれのCVSS v3.1スコアをまとめました。

最も深刻なものはスコア 9.8 (CRITICAL) に達しており、認証なしでリモートからデバイスを完全に制御できる極めて危険な状態です。

---

 脆弱性とCVSSスコア一覧

メーカー	製品名	CVE番号	CVSS スコア	脆弱性の内容	修正状況
Angeet / Yeeso	ES3 KVM	CVE-2026-32297	9.8 (Critical)	重要な機能における認証の欠如。RCE（遠隔コード実行）が可能。	修正なし
Angeet / Yeeso	ES3 KVM	CVE-2026-32298	8.8 (High)	OSコマンドインジェクション。任意のコマンド実行が可能。	修正なし
GL-iNet	Comet RM-1	CVE-2026-32291	7.6 (High)	UART（シリアル通信）経由のルートアクセス。	修正計画中
JetKVM	JetKVM	CVE-2026-32295	7.3 (High)	レートリミットの不備。パスワードの総当たり攻撃が可能。	v0.5.4で修正済
JetKVM	JetKVM	CVE-2026-32294	6.7 (Medium)	アップデート検証の不備。不正なファームウェアの注入リスク。	v0.5.4で修正済
Sipeed	NanoKVM	CVE-2026-32296	5.4 (Medium)	設定エンドポイントの露出。情報の漏洩や改ざんのリスク。	修正済(※)
GL-iNet	Comet RM-1	CVE-2026-32292	5.3 (Medium)	ブルートフォース（総当たり）保護の不備。	v1.8.1 BETAで修正
GL-iNet	Comet RM-1	CVE-2026-32290	4.2 (Medium)	ファームウェアの真正性検証の不備。	修正計画中
GL-iNet	Comet RM-1	CVE-2026-32293	3.1 (Low)	未認証のクラウド接続による安全でない初期プロビジョニング。	v1.8.1 BETAで修正

(※) Sipeed NanoKVMの修正版：NanoKVM v2.3.1 / NanoKVM Pro v1.2.4

---

 特に警戒すべき点

• Angeet/Yeeso ES3 KVM: スコア 9.8 および 8.8 の脆弱性が修正されないまま放置されており、インターネットに公開されている場合は即座に攻撃の標的となる恐れがあります。
• サプライチェーンの脆弱性: 複数のデバイスで「ファームウェアの署名検証がない」という、現代のセキュリティ基準では考えられない設計ミスが指摘されています。

これらのデバイスが物理的にサーバーのUSBやビデオポートに接続されている場合、攻撃者はOSのログイン画面をバイパスして、BIOSレベルからの操作（ブート順変更によるマルウェア感染など）を行うことが可能です。

こちら　↓　も興味深い

Sipeed NanoKVM は危険か - はるさめ氏の日常 (2025/12/09)

『最後に、ユーザーの皆さんに思い出していただきたいのは、「絶対に安全な」または「中国製でない」デバイスを探す試み（中略）ではなく、最も効果的な防御はネットワークの分離とセキュリティ対策を学び、適切に設定することにあるということです。』

「Wireshark 4.6.4」、3件の脆弱性を修正

フリーのネットワークプロトコルアナライザー「Wireshark 4.6.4」、3件の脆弱性を修正 - 窓の杜 (02/26)

『とくに、以下の3件の脆弱性修正には注意。できるだけ早い対処をお勧めする。

• wnpa-sec-2026-05：USB HID dissector memory exhaustion.（CVE-2026-3201）
• wnpa-sec-2026-06：NTS-KE dissector crash（CVE-2026-3202）
• wnpa-sec-2026-07：RF4CE Profile dissector crash（CVE-2026-3203）

　なお、これらは「Wireshark 4.4」シリーズにも影響する。修正版であるv4.4.14への更新が必要だ。』

との事。

03/03現在、CVSS値は未だ割り当てられていない。KEV Catalogにも未掲載。

アサヒグループHD、アップデート

アサヒグループHD、ランサムウェア攻撃によるシステム障害について、調査が完了した内容と再発防止策を公開 - INTERNET Watch (02/19)

対応状況や後半の具体的な取り組みの概要など、とても参考になる。時々見直したい。

・過去記事　新聞記事いろいろ 12/03 『アサヒグループが導入する「本家・米国式ゼロトラスト」』

サイバー攻撃対応「しくじったら懲戒」

解雇妥当と考えるのはわずか5％ (02/07)

『・・・セキュリティ対策が特定の部署や役職に限定された課題として捉えられている状況が浮かび上がった。

・・・

　KnowBe4 Japanの職務執行者社長である力一浩氏は、偶発的なミスにも高い割合で懲戒処分が適用されている点を指摘し、大規模なインシデントほど組織的な要因が背景に存在すると説明した。個人への処罰のみではリスク低減につながらず、処罰への恐れが事実の表出を妨げる可能性にも言及している。AIなど新技術の活用が進む環境下において、ミスから得られた知見を共有する文化の構築が不可欠だとの見解を示した。』

---> 02/18 追記

日本企業のインシデント対応、5割が「従業員の懲戒処分」を実施　外部攻撃や偶発的ミスでも　従業員の6割弱が「ミスを責めるより学ぶ文化」を切望　KnowBe4調査 - ＠IT (02/17)

『　一方で、偶発的なインシデントに対して「正式な懲戒処分が必要」と考える従業員は10％、「解雇されるべき」と考える従業員は5％にとどまっている。対照的に従業員の57％は「対象別のトレーニングやサポート」を求めており、ミスを責めるのではなく「ミスから学ぶ文化への転換」を望んでいた。

　攻撃手法に関しては、セキュリティリーダーの72％が過去1年間において電子メール関連のインシデントが増加したと回答した。またAI（人工知能）アプリケーションに関連する事案は49％、ディープフェイクに関連する事案は24％となっており、攻撃手法の巧妙化が進んでいる状況にある。

...

「処罰への恐れは隠蔽（いんぺい）を招き、組織の学習機会を奪う」と指摘した上で、「AIなどの新技術を活用する上では、小さなミスを責めずに、気付きを組織の知恵として共有する『セキュリティ文化』の形成が不可欠であり、罰による管理から行動と意識を変容させる文化への転換が防御態勢を築く鍵になる」と述べている。』

"正式な懲戒処分"や"解雇"を妥当とするのは、どのようなシナリオ（質問）だろう？
法廷論争にでもなればかえってレピュテーションリスクを高めるのではないか。

アスクルのその後の情報（12月中旬現在）

守ったつもりが、守れていなかった　アスクルのランサム被害報告書の衝撃：半径300メートルのIT - ITmedia エンタープライズ (2025/12/16)

ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みのご報告 (2025/12/12)

（ランサムウェア攻撃によるシステム障害関連・第 13 報）

以下、AIによる要約　↓

---

ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組み（要約）

1. 概要と背景

アスクル株式会社は、2025年10月19日に発生したランサムウェア攻撃により、大規模なサービス停止と情報の流出が確認された事態について、外部専門機関の協力を得た詳細な調査結果を公表しました。同社は本件を厳粛に受け止め、安全性強化と再発防止に全社を挙げて取り組んでいます。

2. 被害状況と流出情報

• システム被害: 物流システムおよび社内システムの一部データが暗号化・窃取されました。高度に自動化された物流センターの稼働が停止したため、出荷業務に甚大な影響を及ぼしました。

• 情報流出: 約59万件の事業所向け顧客情報、約13.2万件の個人向け顧客情報、約1.5万件の取引先情報などが流出しました 。なお、クレジットカード情報は保有していないため、流出はありません。

3. 攻撃の手法と原因分析

• 侵入経路: 業務委託先のアカウント（多要素認証が未適用）が悪用され、2025年6月に初期侵入が行われました。

• 攻撃拡大: 攻撃者は脆弱性対策ソフトを無効化し、権限を奪取しながらネットワーク全体へ拡大。10月19日にランサムウェアを起動し、同時にバックアップファイルの削除も行われました。

• 課題: 24時間監視の未実施や、多層的な検知体制の不足、ランサムウェアを想定したバックアップ環境の欠如が、被害の拡大と復旧の長期化を招きました。

4. 復旧対応と安全性確保策

• クリーン化: 侵害された可能性のある端末やサーバは、徹底的なスキャンを行い、廃棄またはOSの再インストールを実施しました。

• 新環境構築: 既存環境の修復ではなく、安全が確認された新しい環境をゼロから構築する方式を採用し、安全性を確保しました。

5. 今後の再発防止・強化ロードマップ

• 短期: 全リモートアクセスへの多要素認証（MFA）の徹底、EDRの強化、アカウントパスワードの全リセットを完了。

• 中期: 24時間365日の監視体制（SOC）の高度化、リスク管理の強化、従業員教育の再編を推進。

• 長期: NIST（米国標準技術研究所）の基準に基づいたセキュリティ基盤の成熟、BCP（事業継続計画）の見直し・強化。

6. 企業の姿勢と社会的責任

アスクルは「犯罪を助長しない」という社会的責任から、攻撃者との接触や身代金の支払いは一切行わない方針を貫いています 14。また、本件で得た知見を外部コミュニティ（JPCERT/CC等）へ共有し、社会全体のサイバーセキュリティ向上に貢献するとしています。

---

※本件の影響により、2026年5月期 第2四半期の決算発表は延期されています。