RATOC RAID監視マネージャー脆弱性から学ぶ DLLハイジャックの危険性と対策

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「社内で使っているストレージ管理ツール、アップデートしてないけど大丈夫?」
「インストーラーに脆弱性って、どういうこと?」

チップス

ボス!RATOC のRAID監視マネージャーに脆弱性があるってニュースを見たんでしゅ。でも「DLLハイジャック」って何でしゅか?

ボス

ふふふ、良いところに気づいたな。DLLハイジャックは、Windowsアプリの「ファイル読み込みの仕組み」を悪用した古典的だが今も有効な攻撃手法だ。今回のJVN報告は、日本企業の担当者なら必ず押さえておくべき内容だぞ。

社内のストレージ管理ツールは、インフラを支える縁の下の力持ちです。
しかし、そのインストーラー自体に脆弱性が潜んでいるとしたら、どうでしょうか。
今回は2026年3月26日にJPCERT/CCが公開したJVN#08057419を題材に、DLLハイジャックの危険性と企業の対策を解説します。

  • RATOC RAID監視マネージャーにCVSSスコア8.4/8.5の深刻な脆弱性が2件発覚した
  • DLLハイジャックを悪用すると、攻撃者がSYSTEM権限でコードを実行できる
  • 対策はバージョン2.00.009.260220以降への即時アップデート一択だ

この記事を読めば、DLLハイジャックの仕組みを正しく理解し、自社の社内ツール管理に活かせる具体的な知識が得られます。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

RATOC RAID監視マネージャーの脆弱性(JVN#08057419)の概要

今回の脆弱性は、日本国内で広く利用されているストレージ管理ツールのインストーラーに起因しています。

公開された2つの脆弱性の内容

2026年3月26日、JPCERT/CCはJVN#08057419として、ラトックシステム株式会社の「RATOC RAID監視マネージャー(Windows用)」に複数の脆弱性が存在すると公表しました。
影響を受けるのは、バージョン2.00.009.260220より前のすべてのバージョンです。
報告者はGMOサイバーセキュリティ byイエラエ株式会社の松本一真氏で、責任ある開示プロセスを経て公開されました。

公開された脆弱性の概要は以下の通りです。

CVE番号脆弱性の種類CVSSv4.0主な影響
CVE-2026-28760DLLファイル検索パスの制御不備(CWE-427)8.4管理者権限で任意コードを実行される
CVE-2026-32680インストール時のファイルアクセス権設定不備(CWE-276)8.5非管理者ユーザーがSYSTEM権限で任意コードを実行できる

特にCVE-2026-32680は、デフォルト以外のディレクトリへのインストール時に顕在化します。
管理者権限を持たない一般ユーザーでも、悪意あるファイルを配置することでSYSTEM権限でのコード実行が可能になる点が深刻です。

どのような環境が影響を受けるか

RATOC RAID監視マネージャーは、ラトックシステム製のRAIDケースを使用するWindows環境で広く使われているツールです。
中小企業のファイルサーバーや、NAS代替として社内に導入しているケースも多くあります。
以下のような環境では、特に早急な対応が必要です。

  • ラトックシステム製RAIDケースをWindowsサーバーに接続して運用している
  • RAID監視マネージャーのバージョンが2.00.009.260220より古い
  • デフォルト以外のディレクトリ(Cドライブ直下など)にインストールしている
チップス

えっ、インストール先を変えただけで脆弱性が出るんでしゅか?それは気づきにくいでしゅ……。

ボス

そうだな。インストーラーがアクセス権を正しく設定しないことが問題の根本だ。デフォルト外のパスにしてもセキュアに動作するよう実装するのが本来あるべき姿だぞ。

DLLハイジャックの仕組みと企業への影響

今回の脆弱性の核心にある「DLLハイジャック」とはどのような攻撃なのかを理解しておきましょう。

Windowsのファイル読み込み順序を悪用する攻撃

DLL(Dynamic Link Library)は、複数のプログラムが共有する機能をまとめたファイルです。
Windowsアプリケーションは起動時や処理中に必要なDLLを自動で読み込みますが、その際には「検索順序」が決まっています。
DLLハイジャックは、この検索順序の特性を悪用した攻撃手法です。

WindowsのDLL検索順序のポイントは以下の通りです。

  • 実行ファイルが置かれているディレクトリを最初に探す
  • 次にシステムディレクトリ(C:\Windows\System32)を探す
  • 最後に環境変数PATHで指定されたディレクトリを探す

攻撃者は、正規のDLLよりも先に検索されるディレクトリに、悪意あるDLLを同じ名前で配置します。
すると、アプリケーションは正規のDLLではなく攻撃者が用意したDLLを読み込んでしまいます。
今回のCVE-2026-28760では、インストール時に細工されたDLLを同じフォルダーに置くよう誘導されると、管理者権限で悪意あるコードが実行されるリスクがあります。

特権昇格との組み合わせで被害が拡大する

CVE-2026-32680は、DLLハイジャックにさらに深刻な要素を加えています。
インストール先ディレクトリのアクセス権が適切に設定されていないため、管理者でない一般ユーザーもそのフォルダーにファイルを書き込める状態になります。
これはWindowsサービスとして動作するプログラムに対して特に危険です。

攻撃シナリオとして想定される流れは以下の通りです。

  • 攻撃者(または侵害済みの一般ユーザーアカウント)がインストールディレクトリに悪意あるDLLを配置する
  • RAID監視マネージャーがSYSTEMアカウントで起動した際に悪意あるDLLを読み込む
  • SYSTEM権限でのコード実行が成立し、攻撃者はシステムを完全に掌握できる

SYSTEM権限は、Windowsで最高レベルの権限です。
この権限を奪取されると、ランサムウェアの展開、バックドアの設置、認証情報の窃取など、あらゆる攻撃が可能になります。
社内ストレージへのアクセス権も奪われるため、機密データの漏洩リスクも直結します。

チップス

一般ユーザーの権限しかない人でも、SYSTEM権限が取れちゃうんでしゅか……それは怖いでしゅ。

ボス

だから「アクセス権の設定不備」はCVSSスコア8.5という高評価がついているんだ。権限昇格を許すバグは、侵入後の被害を一気に拡大させる危険な脆弱性だぞ。

まとめ:社内ツールの脆弱性管理を見直そう

今回のRATOC RAID監視マネージャーの脆弱性は、「社内ツールだから安全」という思い込みがいかに危険かを示す好例です。
対策として最優先で実施すべきことをまとめます。

  • RATOC RAID監視マネージャーをバージョン2.00.009.260220以降に即時アップデートする
  • 社内ツールも定期的なJVN/CVE確認の対象に含め、脆弱性管理を徹底する
  • インストール先ディレクトリのアクセス権を確認し、不要な書き込み権限を排除する
  • 最小権限の原則を徹底し、一般ユーザーが触れられるディレクトリを制限する

DLLハイジャックはWindowsの根本的な仕組みを利用した攻撃であり、完全に排除するにはソフトウェア側の適切な実装が不可欠です。
しかし、アップデートを速やかに適用することで既知の脆弱性から自社を守れます。
JVNはJPCERT/CCが提供する信頼性の高い脆弱性情報データベースです。
定期的に確認し、情報システム担当者として迅速な対応を心がけましょう。

チップス

RATOC使ってるサーバーをさっそく確認するでしゅ!JVNを定期チェックする習慣もつけるでしゅ!

ボス

ふふふ、その意識が大事だぞ。脆弱性情報は公開されてから攻撃が増える前に対処する。それがセキュリティの基本だ。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次