SimpleHelp CVE-2026-48558(CVSS 10.0)が悪用、JWTトークン偽造でMFAも突破しマルウェアを展開

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「SimpleHelpってリモート管理ツールに重大な脆弱性って聞いたんでしゅけど、うちもMSPから使ってるんでしゅ……」
「MFAを設定してるから安全でしゅよね?それでも突破されちゃうんでしゅか?」

チップス

ボスっ!SimpleHelpってツールにCVSS 10.0の脆弱性が出て、すでに悪用されてるって聞いたんでしゅ。うちのMSPも使ってるんでしゅけど大丈夫でしゅか?

ボス

深刻だな。MFAを設定していても突破されるケースが確認されている。MSP経由でSimpleHelpを使っているなら、サプライチェーン攻撃のリスクとして認識すべき問題だ。

リモート管理ツール「SimpleHelp」にCVSS 10.0の認証バイパス脆弱性(CVE-2026-48558)が発見され、実環境での悪用が確認されました。
攻撃者はJWTトークンを偽造してTechnicianセッションを取得し、さらにMFAも回避してマルウェアを展開しています。
CISAのKEVカタログにも追加され、米連邦機関には2026年7月2日までの修正が命じられています。

  • SimpleHelp 5.5.15以前にCVSS 10.0の認証バイパス脆弱性(CVE-2026-48558)が存在し、積極的に悪用されている
  • OIDCのJWT署名検証の欠陥を利用してMFAも突破でき、Node.jsローダーとDjinn情報窃取マルウェアが展開された
  • CISAがKEVに追加し米連邦機関に7月2日までの修正を命令、修正版は5.5.16(または6.0 RC2)

日本でもMSP(マネージドサービスプロバイダー)経由でSimpleHelpを利用している企業があります。
管理する側のMSPが侵害されれば、その先のすべてのクライアント環境が危険にさらされるという「サプライチェーンリスク」として認識することが重要です。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

SimpleHelpのCVSS 10.0脆弱性で何が起きたのか

CVE-2026-48558はOIDC認証が有効な場合に発現する認証バイパスの脆弱性です。

チップス

MFAを設定してても突破されるんでしゅか?それって2段階認証の意味がなくなるんでしゅよね?

ボス

通常のMFAが無効化される理由がある。SimpleHelpは初回ログイン時にTechnicianが自分でMFAを登録できる設計だ。攻撃者が偽トークンで「初回ログイン」として入り込めば、自分のデバイスをMFAとして登録できてしまうんだ。

脆弱性の技術的な仕組み

攻撃の仕組みをまとめます。

  • OIDCがが有効な場合、SimpleHelp 5.5.15以前はIDトークン(JWT)の暗号署名を検証しない
  • 攻撃者が任意のTechnicianアカウントを模した偽JWTを作成・送信するだけで認証済みセッションを取得できる
  • 初回ログイン時のMFA自己登録フローを悪用し、攻撃者自身のデバイスをMFA手段として登録できる
  • これにより通常の多要素認証保護が完全に無効化される

Blackpoint Cyberの調査では、この手法を使った実際の攻撃で以下のマルウェアが展開されたことが確認されています。

マルウェア名役割
TaskWeaverNode.jsベースのローダー。次のステージのマルウェアを読み込む
Djinn Stealer認証情報・クラウドキー・APIトークンを窃取する情報窃取型マルウェア

脆弱性の影響範囲と今すぐ取るべき対策

SimpleHelpはMSPが複数顧客環境を一括管理するために使うツールです。
一点が侵害されれば波及範囲は非常に広く、対応を急ぐ必要があります。

影響範囲と修正バージョン

影響するバージョンと修正版は以下の通りです。

  • SimpleHelp 5.5.15以前のすべてのバージョン(修正版: 5.5.16)
  • SimpleHelp 6.0のプレリリース版(修正版: 6.0 RC2)

MSP利用者は自社のSimpleHelpがどのバージョンで稼働しているか、MSPに確認することを推奨します。
今すぐできる対策を以下にまとめます。

  • SimpleHelp 5.5.16または6.0 RC2へ即時アップデートする
  • OIDC認証を使用している場合は特に優先度を上げて対応する
  • MSPに利用しているSimpleHelpのバージョンと対応状況を確認する
  • 侵害の痕跡(不審なTechnicianアカウント・MFA登録・セッションログ)を調査する
チップス

MSPさんに連絡してバージョン確認してもらうでしゅ!でも、もし攻撃されてたらどうすれば……

ボス

侵害の痕跡調査が先だ。不審なTechnicianアカウントが追加されていないか、MFAデバイスに覚えのないものがないかを確認する。万が一侵害が疑われれば、インシデントレスポンスを迷わず起動することだな。

まとめ:MSP経由のリスクは自社も対象

SimpleHelp CVE-2026-48558はMFAを含む認証機構を丸ごと無効化するCVSS 10.0の深刻な脆弱性で、すでに情報窃取マルウェアの展開という実被害が出ています。
MSPがSimpleHelpを使って管理している環境であれば、エンドクライアント企業もこの脆弱性の影響圏内にいます。
修正版5.5.16への即時アップデートと侵害痕跡の調査を最優先で進めてください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次