1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. SKYSEA Client View・SKYMEC IT Managerに権限昇格の脆弱性(CVE-2026-39454)

SKYSEA Client View・SKYMEC IT Managerに権限昇格の脆弱性(CVE-2026-39454)

セキュリティニュース

投稿日時: 更新日時:

SKYSEA Client View・SKYMEC IT Managerに権限昇格の脆弱性(CVE-2026-39454)

Sky株式会社は2026年4月20日、同社が提供するクライアント運用管理ソフトウェア「SKYSEA Client View」および医療機関向けIT機器管理システム「SKYMEC IT Manager」において、不適切なファイルアクセス権設定に起因する脆弱性(CVE-2026-39454)を確認したと公表しました。

CVSS 4.0スコアは8.5、CVSS 3.0スコアは7.8と、いずれも「重要(High)」の評価です。ただし、リモートからの悪用は不可能なローカル限定の脆弱性であり、プログラム稼働中の端末には影響がないという重要な条件があります。公表時点で悪用報告はありません。

何が起きたか

インストールフォルダ内のファイルアクセス権の設定が不適切であることにより、管理者権限を持たない一般ユーザーが当該フォルダ内のファイルを改変したり、任意のファイルを設置したりできる状態でした。この操作を起点として、管理者権限で任意のコードを実行される可能性があります。

情シス担当者が最初に確認すべき重要な条件

本脆弱性には、対応の優先度を判断するうえで不可欠な2つの条件があります。

条件①:リモートからの悪用は不可能 本脆弱性はコンピューター内の実行プロセスに限定されており、ネットワーク経由でリモートから悪意のあるコードを実行させるものではありません。

条件②:稼働中の端末への対処は不要 すでにインストール済みで稼働中の端末は、本脆弱性の影響を受けません。Sky株式会社は公式に「既にインストール済みの端末への対処は不要」と明記しています。

これらの条件を踏まえると、本脆弱性への対応が必要になるのは主に今後新規に端末機をインストールする際の場面です。ただし、「部署情報付きインストーラー」を事前作成している場合は再作成が必要になるため、この点の確認は急ぎ行う必要があります。

影響を受ける製品とバージョン

製品名 対象バージョン 対象プログラム
SKYSEA Client View ~ Ver.21.200.07j 管理機・端末機・スタンドアロン端末機・稼働監視端末機・持込端末機(Windows OSのみ)
SKYMEC IT Manager ~ Ver.2024.005.10a 同上(Windows OSのみ)

製品別の対応方法

SKYSEA Client View(オンプレミス版)をご利用の場合

以下のいずれかの対応を実施してください。

対応A:Ver.21.210.01f以降へのアップデート 保守契約ユーザー用Webサイトよりアップデートモジュールを取得し、適用してください。

対応B:マスターサーバーへの修正モジュールの適用 アップデートを実施しない場合は、修正モジュールの適用で本脆弱性に対処できます。

追加確認事項:部署情報付きインストーラーの再作成 上記いずれかの対応を実施する前に作成した部署情報付きインストーラーを保有している場合は、対応後に再作成が必要です。保有状況を確認してください。

詳細:保守契約ユーザー用Webサイト(https://sp.skyseaclientview.net/topics/detail_3286.html)※ログイン必須

SKYSEA Client View M1 Cloud Editionをご利用の場合

対策はSky株式会社にて2026年4月16日に実施済みです。 現在ご利用中の端末への追加対処は不要です。

今後、新規に端末機をインストールする際は、管理コンソールより最新の端末機インストーラーをダウンロードしてから使用してください。

詳細:保守契約ユーザー用Webサイト(https://sp.skyseaclientview.net/topics/detail_3293.html)※ログイン必須

SKYMEC IT Managerをご利用の場合

現時点ではマスターサーバーへの修正モジュールの適用が対処方法となります。アップデートモジュールは後日提供予定であり、提供開始時に保守契約ユーザー用Webサイトにてアナウンスされます。

追加確認事項:部署情報付きインストーラーの再作成 修正モジュール適用前に作成した部署情報付きインストーラーを保有している場合は、適用後に再作成が必要です。

詳細:保守契約ユーザー用Webサイト(https://sp.skymec.net/topics/detail_1414.html)※ログイン必須

情シス担当者への確認チェックリスト

確認項目 対応
使用製品がSKYSEA Client View(オンプレミス)か Ver.21.210.01f以降へのアップデートまたは修正モジュールの適用
使用製品がSKYSEA Client View M1 Cloud Editionか 対策済み。新規インストール時は最新インストーラーを使用
使用製品がSKYMEC IT Managerか 修正モジュールの適用。アップデートモジュールは後日
部署情報付きインストーラーを事前作成・保有しているか 対応後に再作成が必要
稼働中の端末に追加対処が必要か 不要(稼働中は影響なし)

参考情報

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) フーシ派参戦でイラン紛争が拡大|紅海・ホルムズ海峡封鎖と日本の原油への影響フーシ派 参戦でイラン紛争が拡大-紅海・ホルムズ海峡封鎖と日本の原油への影響 アップルップルが提供するa-blog cmsに重大な脆弱性アップルップルが提供するa-blog cmsに重大な脆弱性 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 自衛隊員の中国大使館侵入事件が移す地政学リスク-局地的事象から波及する認知戦自衛隊 員の中国大使館 侵入 事件が映す地政学リスク-局地的事象から波及する認知戦 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認