【ITニュース解説】Critical CVE-2025-5086 in DELMIA Apriso Actively Exploited, CISA Issues Warning

今回のニュースは、アメリカのサイバーセキュリティとインフラセキュリティ庁、通称CISA（シーサ）が、Dassault Systèmes（ダッソー・システムズ）という企業が提供する「DELMIA Apriso Manufacturing Operations Management（MOM）」というソフトウェアに存在する、非常に重大なセキュリティ上の弱点について警告を発したというものだ。この弱点には「CVE-2025-5086」という識別番号がつけられており、さらに深刻なことに、実際に悪用されている証拠が確認されている。

まず、CISAとは何かを理解しよう。CISAは、アメリカ政府の機関で、国の重要な情報システムやインフラをサイバー攻撃から守ることを主な任務としている。日本の情報処理推進機構（IPA）や内閣サイバーセキュリティセンター（NISC）のような役割を担っていると考えるとわかりやすい。CISAが何らかの警告を発するということは、それが非常に重要で、迅速な対応が求められる問題である可能性が高いことを意味する。

次に、DELMIA Apriso MOMソフトウェアについてだ。これは製造業向けの非常に専門的なソフトウェアで、「Manufacturing Operations Management（製造運用管理）」の名前が示す通り、工場での生産活動全般を管理・最適化するために使われる。例えば、製品の生産計画、原材料の調達、作業の進捗管理、品質管理、設備のメンテナンスなど、製造現場のあらゆるプロセスを統合的に管理する役割を持つ。自動車、航空宇宙、ハイテク製品など、多岐にわたる業界の大規模な製造現場で利用されており、そのシステムが停止したり、情報が漏洩したりすることは、企業の生産活動に甚大な被害をもたらし、ひいては社会経済全体に影響を与える可能性すらある。

このニュースの中心にあるのが「脆弱性」という言葉だ。システムエンジニアを目指す上で、この言葉は非常に重要なので、しっかりと理解しておきたい。脆弱性とは、ソフトウェアやシステムに存在する、セキュリティ上の「弱点」や「欠陥」のことだ。プログラミングのミスや設計上の不備などによって生じることが多く、攻撃者はこの弱点を突いて、システムに不正に侵入したり、データを盗んだり、システムを停止させたり、あるいは悪意のあるプログラムを送り込んだりする。今回のDELMIA Aprisoの脆弱性「CVE-2025-5086」も、そうした弱点の一つだ。

「CVE」というのは、「Common Vulnerabilities and Exposures（共通脆弱性識別子）」の略で、世界中の情報セキュリティの専門家が、発見された個々の脆弱性に対して一意の識別番号を付与するための仕組みだ。これにより、どの脆弱性について話しているのかが明確になり、情報共有がスムーズに行える。今回の「CVE-2025-5086」も、このルールに則ってつけられた識別番号となる。

そして、この脆弱性がどれほど危険かを示すのが「CVSSスコア9.0」という数値だ。CVSS（Common Vulnerability Scoring System）とは、脆弱性の深刻度を客観的かつ定量的に評価するための国際的な基準で、スコアは0から10までの範囲でつけられる。スコアが最大値の10に近いほど、その脆弱性は深刻であると判断される。一般的に、7.0から8.9は「High（高）」、9.0から10.0は「Critical（緊急・最高）」と分類される。今回「9.0」というスコアがついていることから、この脆弱性は「Critical（緊急・最高）」レベルの非常に危険なものであることがわかる。攻撃が成功した場合の被害が甚大で、かつ攻撃が容易である可能性が高いことを示唆している。

さらに深刻なのは、「Actively Exploited（アクティブに悪用されている）」という点だ。これは、この脆弱性が単に発見されただけでなく、すでに現実世界でサイバー攻撃者がこの弱点を利用して、実際にシステムへの攻撃を仕掛けている証拠が確認されている、という意味だ。つまり、この脆弱性を持つシステムは、今すぐにでも攻撃の標的となり得る、極めて危険な状態にあると言える。

CISAは、実際に悪用されている脆弱性をまとめた「Known Exploited Vulnerabilities（KEV）カタログ」というリストを公開している。このKEVカタログに載るということは、その脆弱性が「理論上の危険」ではなく「現実の脅威」であることを意味し、システム管理者や企業にとっては最優先で対応すべき事項となる。今回のCVE-2025-5086がこのカタログに追加されたということは、もはや猶予がなく、速やかな対策が求められる状況であるというCISAからの強いメッセージだ。

システムエンジニアを目指す皆さんにとって、このニュースから学ぶべきことは多い。まず、ソフトウェア開発やシステム運用において、セキュリティ対策がどれほど重要であるかという点だ。一つ一つの脆弱性が、企業の存続を揺るがすほどの重大なインシデントにつながる可能性がある。 次に、このようなセキュリティ情報を常にキャッチアップし、理解する能力が必要だということ。CISAのような公的機関が発信する警告や、CVE、CVSSといった共通の指標は、世界中のシステム管理者や開発者が脅威を共有し、対策を講じるための重要なツールとなる。 そして、実際にシステムを構築・運用する際には、発見された脆弱性に対して迅速にパッチを適用したり、セキュリティアップデートを行ったりする責任がある。今回のDELMIA Aprisoのケースのように、製造業の基幹システムが狙われることは珍しくない。サプライチェーン全体に影響を及ぼすリスクがあるため、セキュリティの重要性はますます高まっている。

このニュースは、単なる特定のソフトウェアの脆弱性の話に留まらない。ITインフラが社会を支える現代において、システムのセキュリティを確保することは、社会的な責任の一部でもあることを示している。システムエンジニアとして、常に最新のセキュリティ動向に目を光らせ、設計・開発・運用・保守のあらゆるフェーズでセキュリティを意識することが、未来の安定したIT社会を築く上で不可欠な姿勢となるだろう。