MFT侵害が依然として続発：レガシーアーキテクチャの脆弱性が露呈

2020年代のマネージドファイル転送（MFT）における侵害の歴史は、単なる1つのベンダーの失敗談ではありません。これは、カテゴリ全体のアーキテクチャパターンが予測可能な失敗を生み出しているという物語です。2026年4月30日に公開されたCVE-2026-4670（MOVEit AutomationにおけるCVSS 9.8の認証バイパス）およびCVE-2026-5174（連鎖的な権限昇格の脆弱性）の開示は、こうしたパターンが単なる不運では片付けられないことを明確に示しています。

主なポイント

1. 2026年の開示は、3年連続で発生した3度目の重大な波です。4月30日、Progress社は2件のMOVEit Automationの脆弱性を公表し、そのうち1件はCVSS 9.8と評価されました。回避策はありません。
2. これは1社だけの問題ではありません。2024年12月のCleo、2025年3月のCrushFTP、2025年7月のWing FTP、そして2026年4月の再度のMOVEit――18か月間で4社にわたり、4件の重大なMFT脆弱性が発生しています。
3. 大半のMFTインシデントはゼロデイではありません。過去1年で59%の組織がMFT関連のインシデントを経験しており、失敗は以下の点に集中しています保存データの暗号化なし、SIEM連携なし、システムの断片化。
4. 被害範囲はパッチ適用の速さではなくアーキテクチャで決まります。同じ脆弱性クラスが多層防御を備えた強化型シングルテナントアプライアンスを直撃した場合、実際の影響は桁違いに低減されます――Log4Shellの業界CVSS 10も、こうした環境ではCVSS 4に抑えられました。
5. 次のパッチが答えではありません。アーキテクチャの選択肢は、セキュリティを顧客の設定負担としてインターネット公開Webアプリに後付けするのか、1つのポリシーエンジンと1つの監査ログを持つ強化型アプライアンスの製品機能とするのか、ということです。

3年間で、MOVEit製品群に11件のCVEが公開され、うち5件はCVSS 9.0以上。そして、毎回同じアーキテクチャ条件が存在していました：インターネット公開Webアプリケーション、顧客管理のOS、アプリケーションが直接アクセス可能なデータベース層、そして他の全てと同じ信頼境界上にあるファイルストア。

2023年の波は大きく報道されました。同年5月27日、Cl0pランサムウェアグループがCVE-2023-34362（MOVEit TransferのCVSS 9.8のSQLインジェクション脆弱性）を大量悪用し始めました。Progress社は4日後にパッチを提供。Mandiantの報告によれば、初期侵害からデータ流出までの平均時間は約5分。年末までに2,700超の組織が侵害され、約9,300万人分の個人データが流出しました。CISAは、下流への波及も含めると世界で8,000以上の組織が影響を受けたと推定しています。

2024年の波は2件の認証バイパス――CVE-2024-5805とCVE-2024-5806（いずれも最終的にCVSS 9.1）でした。Shadowserver Foundationは開示から数時間で悪用試行を観測。WatchTowr Labsは同日に動作するPoCコードを公開。2025年のCVE-2025-2324はSFTP Shared Accountsモジュールに影響。そして2026年のアドバイザリで一連の流れが完結：MOVEit AutomationにおけるCVSS 9.8の認証バイパスと連鎖的な権限昇格の脆弱性で、Shodanは1,440超のインターネット公開インスタンス（米国州・地方政府接続16件含む）がリスクに晒されていると特定しました。

ベンダーのコードが一時的に悪いことはあります。しかし、カテゴリ全体のアーキテクチャが常に問題なのです。

アーキテクチャ問題であることを証明するクロスベンダーパターン

もしMOVEitだけが事例であれば、状況証拠に過ぎません。しかし実際はそうではありません。2024年12月から2026年4月までの18か月間に、4つの異なるマネージドファイル転送プラットフォームが重大な脆弱性をリリースし、それぞれが公開直後に武器化されました。

Cleo（2024年12月）。Cl0pがCleoのHarmony、VLTrader、LexiCom製品の脆弱性連鎖を大量悪用。交通、製造、食品サプライチェーンを中心に300社超が被害を受けました。

CrushFTP（2025年3月）。CrushFTPサーバーに影響する認証バイパスの後、2025年7月にはサーバー完全乗っ取りを可能にする脆弱性が公開されました。

Wing FTP（2025年7月）。Luaインジェクションによる認証不要のリモートコード実行脆弱性で、rootやSYSTEMレベルの権限取得が可能に。

MOVEit（2026年4月）。今回のアドバイザリ。回避策なし。フルインストーラーによるアップグレードが必須です。

Dragos 2026 OT/ICS Cybersecurity Reportは、このパターンを運用面から解説しています。2025年を通じてランサムウェアのアフィリエイトはエンジニアリング企業、OTマネージドサービスプロバイダー、ICS機器ベンダーを標的にする傾向を強め――まさにレガシーMFTプラットフォームに集中する顧客層です。Cleo MFT、CrushFTP、さらに後のOracle E-Business SuiteへのCl0pの攻撃は、広く使われるファイル転送ソフトウェアの単一脆弱性が、運用文書・エンジニアリングデータ・ベンダー/顧客間連携を数百の産業組織にわたり露出させることを示しました――攻撃者がOTネットワークに直接触れなくても、です。

これがカテゴリレベルのアーキテクチャリスクの実態です。ベンダー名は変わっても、失敗のパターンは変わりません。

59%の組織が既に経験から知っていること

Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Reportで最も注目すべき発見は、MFTインシデントの問題が偶発的なものではなく、主にゼロデイによって引き起こされているわけでもないという点です。過去1年で59%の組織がMFT関連のセキュリティインシデントを経験し、完全にインシデントを回避できたのは39%のみでした。

自動化成熟度別の内訳はさらに示唆的です。MFT経由のファイル転送自動化率が50%未満の組織は71%のインシデント率、50-69%の自動化では61%、70-89%では52%、そして90-100%のエンドツーエンド自動化を達成した13%の組織ではわずか29%でした。

2025年MFT調査レポートは、失敗の要因を3つの構造的ギャップとして整理しています。1つ目は暗号化ギャップ：76%の組織がMFTデータを転送中に暗号化していますが、保存時にAES-256で暗号化しているのは42%のみ。政府機関では保存MFTデータの暗号化率はわずか8%、医療では11%です。ストレージに保存されているデータ――MFT脆弱性が発生した際に攻撃者が到達するデータ――こそが最も保護されていません。

2つ目は可視性ギャップ。63%の組織がMFT環境とSIEMやSOCの連携がありません。セキュリティオペレーションセンターはネットワークトラフィックやエンドポイント活動を監視していますが、ファイル転送――組織内で最も機密性の高いデータが運ばれることも多い――は監視の外にあります。

3つ目は複雑性ギャップ。62%の組織がMFT、メール、ファイル共有、Webフォームなどで断片化したアーキテクチャを運用しています。各ツールが独自のポリシー、監査ログ、設定画面を持ち、それらの間のギャップが証拠の消失ポイントとなります。

これらは特殊な脆弱性ではありません。本来10年前に標準化されているべき基本的なコントロールです。

MFTアーキテクチャが同じ失敗を繰り返す理由

レガシーMFTカテゴリを特徴づける4つのアーキテクチャ特性があり、それぞれがCVE記録における失敗モードに直結しています。

インターネット公開Webアプリケーションの表面。すべてのレガシーMFTプラットフォームは、パートナーアクセスのためのパブリックWebインターフェースを必要とします。このインターフェースこそが、公開されたすべてのSQLインジェクション、認証バイパス、入力検証不備の脆弱性が到達する表面です。また、この表面は製品のコア機能を損なわずに排除することができません。

顧客管理インフラ。レガシーMFTプラットフォームは、顧客が強化したWindows Server、IIS、SQL Server、顧客設定のネットワーク制御上で動作します。セキュリティは顧客がすべての構成要素を正しく強化できているかどうかに依存します。構成ミスはすべて、運用環境における潜在的なCVEとなります。パッチ適用サイクルも顧客自身が調整する責任を負います。

内部に侵入された後の隔離がない。レガシーMFT環境で攻撃者がリモートコード実行に成功すると、アプリケーション層とデータベース、ファイルストア、クラウドストレージ認証情報の間に隔離がありません。被害範囲はプラットフォーム全体に及びます。2023年のCl0p攻撃チェーンはこれを残酷なまでに明確に示しました：Web層のSQLインジェクションでシスアドトークンが露出し、デシリアライズの脆弱性でトークンがリモートコード実行に変換され、LEMUROOOTと名付けられたカスタムASP.NETウェブシェルがカスタムHTTPヘッダー経由でデータ流出を仲介。チェーン上のどの段階も、実質的な層レベルの抵抗を示しませんでした。

回避策のないパッチサイクル。公開されたMOVEitのCVEはすべてフルインストーラーによるアップグレードが必要です。複数のケースで、開示から数時間以内に悪用が観測されています。このサイクルは複雑化します：プラットフォームが稼働し続けるほどCVEが蓄積し、防御の正当性が維持しづらくなります。

Kiteworks Data Security and Compliance Risk: 2026 Forecast Reportは、カテゴリ全体の問題をこう整理しています：レガシーインフラは現代のデータガバナンスを支えられません。分散したファイル共有や数十年前のMFTソリューションには、封じ込めコントロールや証拠品質の監査証跡、主権保証を構築するために必要なセキュリティ機能が不足しています。2026年Forecast Reportによれば、統合されたデータ交換と強制力を持つ運用ができている組織は39%、部分的なカバレッジでギャップがあるのが34%、チャネルごとのソリューションのみ運用が16%、最小限またはガバナンスなしが11%です。

61%の組織が、断片化したインフラ上で証拠品質の監査証跡を構築しようとしています。しかし、そのインフラは今や規制当局が求める水準を支えられません。

規制当局がこのパターンにどう対応しているか

すべてのMFT侵害は規制記録を生み出します。そして規制当局はその記録を読み解く力を高めています。

SECは2023年10月2日、Cl0p MOVEitキャンペーンを受けてProgress Softwareに対する正式調査を開始しました。SEC Item 1.05により、上場企業は重大なサイバーセキュリティインシデントを4営業日以内にForm 8-Kで開示する義務があります。このカウントは、企業がインシデントを「重大」と判断した時点から始まります――そしてCl0p以降、SECは重大性評価の遅延自体も監視対象であることを明確に示しています。

医療分野では、Centers for Medicare and Medicaid ServicesがMOVEit関連の侵害で310万人分の個人情報流出をHHS Office for Civil Rightsに報告しました。HIPAAセキュリティ規則の「合理的な安全策」基準（45 CFR §164.308）が規制枠組みとなり、OCRの制裁金は違反階層ごとに年間最大210万ドルに達します。

EUでは、GDPR第32条がリスクに応じた技術的・組織的対策を要求し、NIS2指令（2024年10月施行）は24時間以内の早期警告・72時間以内のインシデント通知義務を追加。2025年10月の英国ICOによるCapitaへの1,400万ポンド制裁も第32条を直接根拠としています。

オーストラリアでは、2024年プライバシー改正法により重大または繰り返しのプライバシー侵害に対する民事制裁上限が5,000万豪ドルまたは調整後売上高の30%に引き上げられました。オーストラリア情報コミッショナーへの通知義務付きデータ侵害報告は2024年に前年比25%増加。

3年で3度の重大なMFT波を経た今、規制当局の問いは「侵害が予見可能だったか」ではありません。「その開示記録を持つプラットフォームを運用し続けることが合理的な安全策といえるのか」が問われています。

アーキテクチャの選択肢

レガシーMFT製品を別のレガシー製品に置き換えても、パッチサイクルの時計がリセットされるだけで根本モデルは変わりません。アーキテクチャ的な解決策は、異なるモデルへの移行です。

Kiteworksは、メール、ファイル共有、SFTP、MFT、Webフォーム、API、AI連携などのデータ交換を、1つの強化型仮想アプライアンスに統合し、1つのポリシーエンジンと1つの監査ログで管理します。このアプライアンスは、組み込みネットワークファイアウォール、Webアプリケーションファイアウォール、侵入検知システム、Kiteworksが維持管理する最小限のOSを搭載。顧客はOSの設定を行いません。データベースも管理しません。基盤スタックの個別パッチも不要。ワンクリックの全体アップデートで、アプリケーション、ランタイム、OS、ライブラリ全体を一括で更新します。

アプライアンス内部では、階層化アーキテクチャによりWeb層とデータベース、ファイルストアが分離されています。アプリケーション層が侵害されても、データベースへの直接クエリやファイルレベル鍵の取得はできません。保存データはファイルレベルとディスクレベルの2重暗号化（FIPS 140-3認証済み暗号モジュール）で保護。転送中はTLS 1.3で保護。主権要件の高いワークロード向けには顧客管理の鍵管理も選択可能です。

管理モデルも重要です。レガシーMFTでは管理コンソールがOSそのものであり、管理者はサーバーコードやファイルシステム、アプリケーションインストール権限まで持ちます。攻撃者が管理コンソールに到達すれば全てにアクセス可能です。Kiteworksモデルでは、管理者はOSやファイルシステム、アプリケーションコード、データベースにアクセスできません。管理コンソールは厳格なロールベースアクセス制御付きWebインターフェースで、API経由でのみシステム操作が可能。管理者がアプライアンスにソフトウェアをインストールすることはできません。

このアーキテクチャにおける多層防御は理論ではありません。2021年12月のLog4Shell事案では、基盤となるLog4j脆弱性の業界CVSSスコアは10.0でしたが、Kiteworksアプライアンス内では多層コントロールにより、正式パッチ前に実質的な影響をCVSS 4.0に抑制しました。次の重大CVEは予告なく現れます。被害範囲を決めるのは、発生時に存在するアーキテクチャです。

レガシーMFT運用組織が今すぐ取るべき行動

まず、即時パッチ適用。MOVEit Automationを運用している場合は、フルインストーラーで2025.1.5、2025.0.9、または2024.1.8にアップグレードしてください。Progress社はCVE-2026-4670およびCVE-2026-5174に回避策がないことを確認しています。同様の緊急性は、サポート対象パッチ運用中の他のレガシーMFT環境にも当てはまります――開示から悪用までの時間は複数ベンダーで数時間単位で観測されています。

次に、ギャップを監査。Kiteworks Data Security and Compliance Risk: 2025 MFT Survey Reportによれば、63%の組織がMFTとSIEMの連携なし、58%がAES-256による保存データ暗号化未実施、33%が属性ベースアクセス制御未導入。次の開示で議論が強制される前に、現行MFT環境をこの3点でマッピングしてください。

3つ目、チャネルの棚卸し。多くの組織は、セキュアメール、ファイル共有プラットフォーム、SFTPサーバー、MFT、Webフォーム、API、さらにAI連携など、5～10種類のツールで機密データをやり取りしています。Kiteworks 2026 Forecast Reportのデータでは、61%の組織が断片化したデータ交換インフラを運用しており、現状の基盤では証拠品質の監査証跡が構築できません。規制データが境界外に出るすべてのチャネルを棚卸しし、それぞれがポリシーエンジンを共有しているかどうかを確認してください。

4つ目、アーキテクチャを計画サイクルに。レガシーMFTからの移行は現実的なプロジェクトであり、スケジュールも必要です。四半期内の移行が目的ではなく、アーキテクチャ的な代替案を次の予算サイクル、アーキテクチャレビュー、主要MFTアップグレードのタイミングに組み込むことが重要です――プラットフォームのCVE記録が緊急事態として議論を強制する前に。Kiteworks 2025 MFT Survey Reportによれば、90-100%自動化を達成した13%の組織は、手作業ワークフローを多く残す組織の半分以下のインシデント率となっています。統合への投資は、1回の開示サイクル内で回収できます。

5つ目、正しい指標で測定。パッチ適用速度は指標ではありません。被害範囲こそが指標です。同じCVEに見舞われても、強化型シングルテナントアプライアンスを運用する組織と、顧客管理のWebアプリをフラットな信頼境界で運用する組織では、結果が異なります。Black Kite’s 2026 Third-Party Breach Reportによれば、サードパーティ侵害の開示遅延中央値は73日。被害拡大をこの73日間で抑えられるアーキテクチャこそが、規制・評判上の結果を左右します。

MOVEitの記録はProgress Softwareの話ではありません。これは、現代の脅威環境下で防御可能な寿命を終えたデータ交換アーキテクチャカテゴリの物語です。次の重大MFT脆弱性はすでに発見されつつあります。どのニュースの見出しに載るかを決めるのは、開示が起きる前に選択したプラットフォームモデルです。