2026年3月、Quest KACE SMAにCVSS満点(10.0)の脆弱性が発見されました。スコア10.0とは何を意味するのか、なぜ即座にパッチ適用が必要なのかを詳しく解説します。
2026年3月、IT 資産管理ソフトウェア「Quest KACE SMA(Systems Management Appliance)」に CVSS スコア 10.0 の脆弱性(CVE-2025-32975)が発見されました。 CVSS 10.0 は「満点」であり、脆弱性の深刻度スケールで最高値を意味します。
この記事では「CVSS スコアとは何か」「なぜこれほど危険なのか」「組織はどう対応すべきか」を初心者にもわかりやすく説明します。
CVSS スコアとは何か?
CVSS(Common Vulnerability Scoring System) は、ソフトウェアの脆弱性の深刻度を 0.0〜10.0 の数値で表す業界標準の評価システムです。NIST(米国国立標準技術研究所)が管理する NVD(National Vulnerability Database)で広く採用されています。
スコアの段階
| スコア範囲 | 深刻度 | 意味 |
|---|---|---|
| 0.0 | なし | 影響なし |
| 0.1〜3.9 | 低(Low) | 悪用が困難または影響が限定的 |
| 4.0〜6.9 | 中(Medium) | 条件次第で悪用可能 |
| 7.0〜8.9 | 高(High) | 重大な影響、早急な対応推奨 |
| 9.0〜10.0 | 緊急(Critical) | 即時対応必須 |
CVSS 10.0 は理論上の最高値——つまり「これ以上危険な脆弱性はない」というシグナルです。
スコアはどう計算されるのか?
CVSS v3.1 は以下の 8 つの指標を組み合わせて計算します:
- 攻撃経路(AV):ネットワーク越しに攻撃できるか?ローカルアクセスが必要か?
- 攻撃の複雑さ(AC):悪用に特殊な条件が必要か?
- 必要な権限(PR):攻撃者に事前の権限が必要か?
- ユーザーの関与(UI):被害者が何かをクリックする必要があるか?
- スコープ(S):攻撃が他のコンポーネントにも波及するか?
- 機密性への影響(C):情報漏洩の深刻度
- 完全性への影響(I):データ改ざんの深刻度
- 可用性への影響(A):システムダウンの深刻度
CVE-2025-32975 が満点(10.0)を得た理由は:
ネットワーク越しに、認証不要で、ユーザーの操作なしに、完全なシステム制御を奪える
という最悪の組み合わせだったからです。
Quest KACE SMA とはどんなソフトウェアか?
KACE SMA は企業の IT 部門が使う エンドポイント管理プラットフォームです。
主な機能は:
- 社内 PC・サーバーへのソフトウェア自動配布
- セキュリティパッチの一括適用
- 資産管理・インベントリ収集
- リモートデスクトップ・コントロール
つまり「社内の全 PC を管理する管理者専用の司令塔」です。
なぜこれが狙われると危険なのか?
KACE SMA が侵害されると、攻撃者は実質的に企業ネットワーク全体を掌握できます。
攻撃者
↓ CVE-2025-32975 を悪用(認証不要)
KACE SMA サーバーに侵入
↓ 管理者権限を取得
↓ 全端末へコマンド配信
社内の全 PC・サーバーにマルウェア展開これがランサムウェアグループが「管理ツール」を優先的に狙う理由です——一点突破で全拠点に感染を広げられるからです。
CVSS 10.0 が発表されると何が起きるか?
攻撃者の反応
CVSS スコアと CVE 番号が公開されると、24〜72時間以内に攻撃者コミュニティが PoC(概念実証コード)を公開・流通させることが一般的です。一部のランサムウェアグループは専任の「脆弱性スカウト」を雇い、新しい CVE を即座に武器化するプロセスを持っています。
実際、INTERPOL の Project Gateway では、2026年初頭に 45,000 以上の IP アドレスが既知の重大脆弱性を持つシステムをスキャンしているという報告があります。
脆弱性のスキャン自動化
攻撃者はインターネット上のシステムを Shodan・Censys・ZoomEye などのツールで自動スキャンし、脆弱なバージョンを使っているサーバーを見つけ出します。
# 攻撃者が使うスキャン例(教育目的のみ)
shodan search "KACE SMA" --fields ip_str,port,versionこのようなスキャンが自動化・大規模化しているため、「パッチが出たから後でいい」という対応は命取りになります。
組織が取るべき行動:パッチ管理の実践
即時対応(発表後 24〜48時間以内)
- 影響を受けるバージョンの確認:ベンダーのセキュリティアドバイザリを確認し、自社環境で使用しているバージョンが対象かを確認
- インターネット接触面の縮小:KACE SMA の管理ポートを VPN 経由に限定するか、一時的に外部アクセスを遮断
- ログの監視強化:不審なアクセスや設定変更がないかをリアルタイムで監視
短期対応(1週間以内)
- パッチ適用:ベンダーが提供するアップデートを検証済み環境でテストしてから本番適用
- 侵害痕跡の確認(IoC チェック):セキュリティアドバイザリに記載されている侵害の痕跡(不審なプロセス名、変更されたファイルパス)を確認
中長期対応
- 脆弱性管理プログラムの整備:定期的なスキャンと優先度付きパッチ適用の仕組みを構築
脆弱性管理を「仕組み化」する重要性
なぜパッチが遅れるのか?
多くの組織でパッチ適用が遅れる理由には共通したパターンがあります:
- テスト環境の不足:「本番に適用してシステムが止まったら困る」という恐れ
- 変更管理手順の煩雑さ:承認プロセスに数週間かかる
- 人手不足:IT 担当者が少なく、パッチ管理に割けるリソースがない
- 「うちは狙われない」という思い込み:中小企業でも自動スキャンの対象になる
CVSS スコアによる優先順位付け
すべての脆弱性を同じ優先度で扱うのは非現実的です。以下の基準で優先順位をつけましょう:
| 優先度 | 条件 | 対応期限の目安 |
|---|---|---|
| P1(緊急) | CVSS 9.0以上 + 悪用確認済み | 24時間以内 |
| P2(高) | CVSS 9.0以上 + 悪用未確認 | 72時間以内 |
| P3(中) | CVSS 7.0〜8.9 | 1週間以内 |
| P4(低) | CVSS 4.0〜6.9 | 月次パッチサイクル |
| P5(情報) | CVSS 0.1〜3.9 | 四半期レビュー |
CVSS スコアの「落とし穴」
CVSS スコアは便利な指標ですが、過信は禁物です。
スコアだけでは測れないリスク
EPSS(Exploit Prediction Scoring System) と組み合わせて考えることが重要です。EPSS は「この脆弱性が30日以内に実際に悪用される確率」を 0〜100% で示すスコアです。
たとえば:
- CVSS 9.8 + EPSS 0.1%:理論上は危険だが、実際の攻撃コードが存在せず悪用困難
- CVSS 7.2 + EPSS 45%:スコアは「高」だが、すでに大量の攻撃が報告されている
この場合、後者を優先してパッチを当てるべき状況もあります。
KEV リストの活用
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)が公開する KEV(Known Exploited Vulnerabilities)カタログは、実際に攻撃に使われていることが確認された脆弱性のリストです。
米国の連邦政府機関はこのリストにある脆弱性を期限内に必ず修正することが義務付けられていますが、民間企業も参考にする価値があります。
まとめ:「パッチ管理」はセキュリティの基本中の基本
CVE-2025-32975 のような CVSS 10.0 の脆弱性は、発見から攻撃開始まで数時間という世界になっています。
しかし、現実を見れば多くの侵害は既知の脆弱性(パッチが存在する)を悪用しているという事実があります。Verizon の DBIR(Data Breach Investigations Report)によると、侵害の多くで「1年以上前にパッチが提供されていた脆弱性」が利用されています。
つまり、最新の攻撃手法を研究する前に、当たり前のパッチ管理を当たり前に実施することが最も費用対効果の高いセキュリティ施策なのです。
脆弱性管理の三原則:
- 把握する:自組織のシステム・ソフトウェアのインベントリを常に最新化する
- 優先する:CVSS + EPSS + KEV を組み合わせてリスクベースで優先順位をつける
- 速く動く:CVSS 9.0 以上は 72時間以内にパッチ適用できる体制を作る
参考情報 本記事は NIST NVD、CISA KEV カタログ、Verizon DBIR 2025 および Quest の公式セキュリティアドバイザリをもとに執筆しています。特定のエクスプロイトコードや攻撃手順の詳細は記載していません。