チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「SolarWindsの脆弱性が今すぐ悪用されているニュースを聞いて、うちのファイル転送サーバが心配でしゅ……」
「CISAが14日以内に直せって言ってるけど、何から手をつければいいでしゅか?」
チップスセキュリティ関連のニュースが連日飛んできて、対応がもう追いつかないでしゅ……。
ボスふふふ、慌てるな。今回の脆弱性はServ-Uを使う組織にとって短期決戦だ。手順を順に解説しよう。
本記事では、CVE-2026-28318の被害規模と攻撃手口、セキュリティ担当が今すぐ取るべき初動をまとめます。
自社のファイル転送基盤を守るための初動が、最後まで読めば30分で組み立てられます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
今回の指定がなぜ「14日間」と異例の短さなのか、その背景を整理します。
CISAは2026年6月5日にCVE-2026-28318をKnown Exploited Vulnerabilities(KEV)カタログに追加しました。
米国の連邦民間行政機関(FCEB)への修正期限は6月19日、追加からわずか14日後です。
KEVは「実環境で悪用が確認された脆弱性」のみが掲載されるため、ここに載った段階で攻撃は並行して動いています。
SolarWinds社の正式アドバイザリでも、Serv-U 15.5.4 HF1での修正が示されています。
ポイントは以下のとおりです。
原典はCISAの告知で確認できます。
SolarWinds Serv-Uは取引先や工場とのファイル交換を担う基幹ツールとして、日本の製造業や金融機関でも採用例があります。
とくにSFTPやHTTPSのゲートウェイとしてDMZに置かれているケースは、インターネットからの直撃を受けやすい構成です。
FCEB期限はあくまで米国向けですが、攻撃者が標的を米政府機関に限定する理由はありません。
国内組織も同等のスピード感で動くべき場面でしょう。
チップスええっ、米国の話だと思ってたら、日本も同じスピードで動かないとマズいんでしゅか?
ボスKEV掲載は世界中の攻撃者へのシグナルにもなる。リスクは国境を選ばない、と思っておくのがいい。
攻撃手口は単純ですが効果的で、未認証で外部から実行されます。
未認証の攻撃者が、HTTP POSTリクエストに「Content-Encoding: deflate」ヘッダと不正な圧縮データを添えて送信すると、Serv-Uが解凍処理でメモリを使い切ってクラッシュします。
認証も特権昇格も不要で、外部から直接サービスを落とせるのが厄介な点です。
業務時間に1回当たれば、ファイル授受のフローはその時点で止まります。
攻撃の前提条件は以下のとおりです。
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-28318 |
| CVSS | 7.5(High) |
| 種別 | Uncontrolled Resource Consumption(DoS) |
| 認証 | 不要 |
最短の対応は、Serv-U 15.5.4 HF1への即時アップデートです。
すぐに更新できない場合は、アクセス元IPを既知のものに絞り、加えてWAFやリバースプロキシで「Content-Encoding」ヘッダを含むリクエストをブロックしてください。
Serv-Uは通常運用でこのヘッダを使わないため、ブロックしても業務影響はほぼ出ません。
チップス修正パッチとヘッダブロックの二段構えなら安心でしゅね!
ボスそうだ。修正までの数時間でも、WAF側で先に止めておけば被害の窓は確実に小さくなる。
CVE-2026-28318は、ファイル転送基盤を真正面から狙うDoS脆弱性です。
米国の連邦機関には2026年6月19日までの修正が義務付けられましたが、攻撃の射程は世界中のSolarWinds Serv-U利用組織にあります。
修正版15.5.4 HF1の適用、または「Content-Encoding」ヘッダのブロックを、今日中の初動として組み立ててください。
業務停止の一報がCFOから飛んでくる前に、手を動かしておく価値があります。
ボスファイル転送は地味だが、止まれば即座に取引先まで影響する。後回しにしない、これだけだな。
チップス早速うちの環境もチェックしてくるでしゅ!
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
