リモート管理ソフトウェアSimpleHelpに脆弱性が発見されました。OpenID Connect(OIDC)認証プロトコルを使用するサーバー上で、認証されていない攻撃者が特権を持つテクニシャンアカウントを作成できる問題です。
この脆弱性はCVE-2026-48558として追跡されており、深刻度は「Critical(緊急)」と評価されています。SimpleHelp 5.5.15以前のバージョンおよびバージョン6.0のプレリリース版が影響を受けます。
攻撃的セキュリティ企業Horizon3.aiの研究者によると、この問題はOIDCアイデンティティプロバイダー(IdP)から受け取るアイデンティティアサーションの検証処理に起因しているとのことです。
OIDCによる認証が有効な場合、認証されていない攻撃者は多要素認証(MFA)のプロセスを経ることなく、新しいテクニシャンユーザーを作成してログインできます。
「このテクニシャンアカウントは、デフォルトの設定のままで、管理対象エンドポイントへのリモートアクセスやスクリプトの実行など、特権的な管理操作を実行できます」と、Horizon3.aiの研究者Zach Hanley氏は説明しています。
SimpleHelpは6月9日、バージョン5.5.16と6.0RC2をリリースし、この脆弱性を修正しました。
影響範囲
CVE-2026-48558は、脆弱なバージョンを実行しているすべてのSimpleHelpサーバーに影響するわけではありません。汎用のOIDCプロトコルやAzure AD OIDC(いずれも大企業で広く使われています)に依存するサーバーの一部が対象となります。
研究者によると、この脆弱性を悪用するにはいくつかの前提条件があります。
- OIDC認証が有効になっていること
- 少なくとも1つのテクニシャングループがOIDCプロバイダーに関連付けられていること
- そのグループで「Allow group authenticated logins」が有効になっていること
Shodanの調査では、インターネットに公開されているSimpleHelpサーバーが約1万4,000台あることが示されています。
ランダムサンプルの分析によると、そのうち約7.2%がOIDC認証を使用する設定になっているとみられます。
さらにHorizon3.aiは、多くのケースで「Allow group authenticated logins」が有効になっていることを確認しています。
CVE-2026-48558を悪用した攻撃への対策として、問題を修正した最新のSimpleHelpリリースへのアップデートが有効です。
アップデートが困難な場合は、IPベースの許可リストを使用してテクニシャンのログイン元を制限することが緩和策の一つとなります。
研究者はさらに、積極的な悪用を検出するための侵害指標(IoC)を公開しています。心当たりのない名前やメールアドレスを持つ、新たに認証されたテクニシャンユーザーの存在などが挙げられます。
また、/opt/SimpleHelp/logs/server.logおよび/opt/SimpleHelp/logs/<YYYYMMDD-HHMMSS>/server.logのログには、不正アカウントによるテクニシャン登録・メールアドレス・設定変更などが記録されている可能性があります。
SimpleHelp、Horizon3.aiのいずれも、現時点では積極的な悪用の証拠を確認していないとしています。
ただし、このソフトウェアはこれまでも多くの脅威アクターから繰り返し標的にされてきた経緯があるため、組織は利用可能な修正または緩和策を速やかに適用することが推奨されます。
攻撃者より先にすべての防御層をテストする
セキュリティチームが記録できる攻撃成功率はわずか54%、アラートを発するのはそのうち14%にすぎません。残りの攻撃は環境内を見えない形で進行しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールを検証し、脅威の検知漏れをなくす方法を解説しています。
