脆弱性管理製品「Nessus」に脆弱性 Windows版で任意ファイル削除のリスク：狙われるセキュリティ製品

Tenableは脆弱性管理製品NessusとNessus AgentのWindows版に任意ファイル削除の脆弱性があると公表した。SYSTEM権限で削除が可能で悪用時にコード実行の恐れがある。修正版への迅速な更新が推奨されている。

[＠IT]

　Tenableは2026年4月23日（米国時間）、脆弱（ぜいじゃく）性管理製品「Nessus」および「Nessus Agent」の「Windows」版において、任意のファイル削除が可能となる脆弱性「CVE-2026-33694」を公表した。

　共通脆弱性評価システム（CVSS）v4.0のスコアは7.4（CVSSv3.0では8.2）、深刻度「重要」（High）と評価されている。この脆弱性を悪用されると、攻撃者がSYSTEM権限でファイル削除を実行できる他、不正なコード実行につながる可能性がある。

脆弱性管理製品「Nessus」に脆弱性　修正パッチ公開済みのため急ぎ対処を

　脆弱性の対象となるのは、Nessus Agentでは11.1.2以前、Nessus本体では10.11.3以前のバージョンだ。原因はリンク解決処理の不備に起因するもので、攻撃者がジャンクションと呼ばれる特殊なリンク構造を作成することで、本来アクセスできない領域のファイルを削除できる状態が生じる。こうした挙動はCWE-59に分類される問題に該当する。

　同社はこの問題に対応するため、Nessus Agent 11.1.3およびNessus 10.11.4、10.12.0を公開した。いずれも不具合を修正しており、利用者には速やかなアップデートの適用が求められており、公式ダウンロードポータルを通じて配布されている。攻撃にはローカル環境での一定の権限とユーザー操作が必要とされるが、条件が満たされた場合の影響は大きい。

　この脆弱性は、攻撃者がシステム内部で細工を施すことで成立するため、既に侵入を許している環境では被害拡大の手段として利用される恐れがある。特に、権限昇格や横展開を狙う攻撃の一部として組み込まれる可能性があり、企業内ネットワークの防御において無視できない要素となる。

　Tenableは同社製品および関連コンポーネントに影響する脆弱性情報を継続的に公開しており、ユーザーにパッチ適用や更新作業を速やかに実行するよう呼びかけている。外部の研究者からの報告に迅速に対応し、問題解決と情報共有する姿勢を示している。

　近年、セキュリティ製品が攻撃対象となる事例が増加している。運用管理ツールは高い権限で動作することが多く、脆弱性が存在した場合の影響範囲も広い。今回の問題も、SYSTEM権限という高い権限での操作が可能になる点で注意が必要だ。

　企業や組織においては、脆弱性情報の把握と対応の迅速化が引き続き重要な課題となる。特にセキュリティ対策製品に関する更新の遅れは、逆に攻撃の足掛かりを与える結果につながりかねない。今回の事案は、基盤的なツールの安全性確保と運用体制の見直しを促すものとなっている。