チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「WPS Officeが入っているけど自分は標的なの?」
「8年前のCVEが残っていたって、どういうことなの?」
チップスボス、WPS Officeに8年も前の脆弱性が残ってたって本当でしゅか…?プリインストールされてるPCも多いから、心配でしゅ。
ボスふふふ、よく見つけたな。CVE-2018-6400だ。ラックが再発見し、IPA経由でJVN#14434132として2026年5月15日に正式公表された。プリインストールが多い日本の現場には他人事ではないぞ。
WPS Officeに、一般ユーザーがSYSTEM権限で任意のコードを実行できる脆弱性が再び確認されました。
原因となっているのは、名前付きパイプに対するアクセス制御の不備です。
もとは2018年に登録されたCVE-2018-6400ですが、現行の一部製品にも残存していることをラックが確認しました。
国内PCにプリインストールされるケースが多く、利用していない人にまでリスクが及ぶ点が深刻です。
この記事を読むことで、攻撃の流れと自社・自分の環境で実施すべき対応が分かります。
WPS製品を一台でも入れている方は、リスクを正しく見極めるためにこのまま読み進めてください。
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
まずは、今回ラックとIPAが公表した内容と、その重さを整理します。
本件は、ラックが社内検証中に既知の脆弱性が現行版にも残っていることを確認し、IPAへ届け出ました。
JPCERT/CCが調整役となり、JVN#14434132として2026年5月15日に公表されています。
該当製品はWPS Office2(2020/2025)Ver.11.2.0以下、WPS Cloud / WPS Cloud Pro Ver.11.2.0.10716以下、KINGSOFT PDF Pro Ver.11.2.0.10715以下です。
今回の特徴は以下の点に集約されます。
チップス使ってないのに入ってるソフトが踏み台になるって、本当に怖いでしゅ…!
ボスそうだな。プリインストール製品はサポートが終わったあとも放置されがちだ。だからこそ棚卸しの対象から外してはいけないのだ。
続いて、攻撃者がどのようにSYSTEM権限を奪うのか、技術的な流れを見ていきます。
WPS Officeはバックグラウンドサービスとの通信に名前付きパイプ(例: \\.\pipe\WPSCloudSvr)を利用します。
このパイプのアクセス制御リストが緩く、一般権限のプロセスからもサービスへ指示が送れる設計になっていました。
悪意あるプログラムが「任意の実行ファイルを起動せよ」と命令を送ると、サービスはSYSTEM権限のまま指示を実行してしまいます。
本脆弱性は、ローカルでコード実行できる前提が必要なため単独では遠隔悪用できません。
しかし、フィッシングメール経由のマルウェア感染や、ブラウザ脆弱性での足場確保と組み合わせれば、初期侵害からSYSTEM権限奪取までを一気に進められます。
ラックの注意喚起も「他の脆弱性と組み合わせた悪用」を懸念点として挙げています。
| 攻撃段階 | 攻撃者の動き |
|---|---|
| 初期侵害 | フィッシングやドライブバイで一般権限のコード実行を確保 |
| 権限昇格 | WPSサービスへ細工した名前付きパイプ通信を送信 |
| SYSTEM奪取 | サービスが任意実行ファイルを起動、SYSTEMで攻撃を継続 |
| 本格活動 | 資格情報窃取・横展開・ランサム展開などの最終目的を達成 |
チップスローカルだけと侮ってると、メール一通から取り返しのつかないことになりそうでしゅね…。
ボスそのとおりだ。EDRで初期侵害を防ぐだけでなく、権限昇格を断つレイヤーも厚くしておく必要があるな。
CVE-2018-6400の再発は、ソフトウェアのライフサイクルとサプライチェーン管理の難しさをあらためて突きつけました。
使っていないと思っているプリインストール製品ほど棚卸しの抜けが生じやすく、攻撃者に都合よく利用されます。
今回の事案を機に、WPS製品の現況確認と更新運用を仕組みに組み込みましょう。
チップス使ってないソフトの棚卸し、すぐやるでしゅ!
ボスうむ、その心意気だ。地味な棚卸しこそ、最後にものを言う基盤になるからな。
参考: LAC WATCH: WPS Officeで使用される名前付きパイプに対するアクセス制御不備の脆弱性 / JVN#14434132
オススメ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
