EATON UPS Companionに複数の脆弱性 ― 任意コード実行の恐れ (CVE-2025-59887, 59888)

EATON UPS Companionに複数の脆弱性 ― 任意コード実行の恐れ (CVE-2025-59887, 59888)

EATON社製UPS Companionとは何か：無停電電源装置(UPS)向け管理ソフトの概要と役割を解説

EATON社のUPS Companion（ユーエスピーエス・コンパニオン）は、同社製UPS（無停電電源装置）と接続したコンピュータを安全にシャットダウンするための電源管理ソフトウェアです。家庭や企業のPC・サーバーにインストールして使用し、停電時にシステムを安全に停止させるなどの機能を提供します。また、UPSのバッテリ残量や消費電力をモニタリングできるため、IT機器の電源管理に広く利用されています。対応OSは主にWindowsであり、サービスとして常駐して動作しつつ設定用のユーザーインタフェースも持つなど、比較的高度な権限でシステムと連携するソフトです。こうした性質上、UPS Companionにセキュリティ上の脆弱性が存在すると、攻撃者に悪用された場合にシステムへ重大な影響を及ぼす恐れがあります。

複数の脆弱性が発覚：インストーラとサービスに存在する任意コード実行につながる問題が判明し対策が必要な事態に

2025年末、UPS Companionにおいて2件の脆弱性が新たに発覚しました。1つはソフトウェアインストーラにおける「ファイル検索パスの制御不備」であり、もう1つはインストール後のWindowsサービス設定における「引用符なしの検索パス」の問題です。これらはいずれも攻撃者によって悪用されると、結果的に任意のコードが実行される可能性がある深刻な欠陥です。前者はインストール実行時、後者はソフト稼働中のサービスで発生する問題であり、いずれも通常の利用形態においては気付きにくい箇所に潜む脆弱性でした。

これらの脆弱性は、日本の情報処理推進機構（IPA）およびJPCERT/CC（Japan Computer Emergency Response Team Coordination Center）に報告され、製品開発元のEaton社へ通知されました。報告を行ったのはGMOサイバーセキュリティ by イエラエ株式会社の松本和真氏で、同氏は製品開発者とIPAに問題を届け出ています。JPCERT/CCは「情報セキュリティ早期警戒パートナーシップ」に基づきEaton社と調整を行い、修正対応と公表の日程を調整しました。これにより、2026年1月12日にEaton社から修正版リリースとセキュリティ通知が出され、翌13日にはIPAおよびJPCERT/CCから一般利用者向けに注意喚起が公開されています。状況は極めて深刻なものと判断され、早急な対策が必要な事態となりました。

任意コード実行のリスク：攻撃によりソフトが悪用され、システムの制御を奪われる可能性があり、深刻な影響を及ぼす

今回発覚した2つの脆弱性はいずれも攻撃者に「任意のコード実行」を許してしまう危険性があります。任意のコード実行とは、攻撃者が被害システム上で好きなプログラムを実行できてしまう状態を指し、コンピュータの制御権を奪取されるのに等しい重大な事態です。インストーラの脆弱性（CVE-2025-59887）が悪用された場合、インストール操作を行っているユーザーと同じ権限で攻撃者のコードが実行されます。例えば管理者権限でインストールしていれば、その権限で不正なプログラムが実行され、PCを完全に乗っ取られる恐れがあります。

一方、サービスの検索パスの脆弱性（CVE-2025-59888）は、通常のユーザー権限からWindowsのSYSTEM権限（最高権限）への昇格を引き起こす可能性があります。もし攻撃者がこの脆弱性を利用すると、当初は一般ユーザー権限しか持っていなくても、OSを完全に制御できるSYSTEM権限で任意のプログラムを動かせるようになります。これは機密データの窃取、システム設定の改ざん、マルウェアの恒常的な埋め込みなど、あらゆる悪意ある行為が可能になることを意味します。特に企業ネットワーク内で当該ソフトを動かすPCが侵害された場合、攻撃者は当該PCのみならずネットワーク全体に深刻な被害を及ぼしかねません。以上のように、今回の脆弱性は放置すると深刻なセキュリティインシデントにつながり得るリスクをはらんでいます。

脆弱性に割り当てられたCVEとは何か：CVE-2025-59887と59888の意味と重要性を詳しく解説

今回の脆弱性にはそれぞれCVE番号が割り当てられています。CVE（Common Vulnerabilities and Exposures）とは、情報システムの脆弱性に一意の識別番号を付与する国際的な仕組みで、脆弱性情報を管理・共有するための「脆弱性識別子」です。UPS Companionのケースでは、インストーラの問題がCVE-2025-59887、サービスの問題がCVE-2025-59888として登録されました。これらの番号は各脆弱性の概要や影響度などの情報とともに公開され、世界中のセキュリティ専門家やシステム管理者が参照できます。CVE番号が付与されたことで、本件の脆弱性情報は国際的に周知され、データベース（例えばNVDやJVNなど）に掲載されました。結果として、ベンダーであるEaton社やIPA/JPCERTといった調整機関だけでなく、一般の開発者・ユーザーも本脆弱性の詳細を把握しやすくなり、適切な対策を講じる上で役立ちます。特に企業では自社システム内のソフトウェアについてCVE情報を監視する運用も多く、今回のCVE通知によりUPS Companion利用環境の管理者へ注意喚起が行き渡る効果が期待されました。

脆弱性公表の経緯：2025年末に明らかとなり、IPAへ報告され、JPCERT/CCの調整を経て2026年1月に公表

UPS Companionの脆弱性は2025年10月頃に松本氏らによって発見され、IPAに対して届け出が行われました。その後、JPCERT/CCを通じて製品開発元のEaton社と連絡が取られ、具体的な修正計画や公表時期の調整が進められました。Eaton社は報告を受けて直ちに調査・修正に着手し、新バージョンの準備を開始します。そして同年12月22日には修正内容を含む最新版（バージョン3.0）が完成し、12月24日付けで脆弱性情報をまとめたセキュリティ通知（ETN-VA-2025-1026）が公開されました。これと前後してIPAおよびJPCERT/CCは一般利用者向けの注意喚起文書を作成し、2026年1月13日にJVN※として公表しています。JVNのタイトルは「EATON UPS Companionに複数の脆弱性」というもので、まさに本記事のテーマとなっている内容です。こうした流れにより、脆弱性発見から公の注意喚起までおよそ2～3か月という比較的迅速な対応が行われました。

※JVN（Japan Vulnerability Notes）はIPAとJPCERT/CCが共同運営する脆弱性情報公開サイトです。本件ではJVN#48187396として詳細が掲載され、開発元の対応状況や対策方法なども含めて周知されています。

EATON UPS Companionのインストーラにおけるファイル検索パス制御不備の脆弱性 (CVE-2025-59887)

インストーラのDLL読み込み脆弱性：ライブラリ検索パス不備により想定外のDLLが実行される恐れがあることが判明

UPS Companionのインストーラには、DLL（動的リンクライブラリ）の読み込み方法に問題があり、それによって本来読み込むべきではない不正なDLLを実行してしまう恐れがあることが判明しました。この脆弱性では、インストーラ実行時に必要となるライブラリファイルの検索パスを適切に制御できていません。具体的には、インストーラ起動時に参照するDLLを探す際、現在の作業ディレクトリやシステムの環境変数PATH上のディレクトリを無秩序に検索してしまうのです。その結果、攻撃者が細工した悪意あるDLLファイルがそうした検索先に置かれていると、インストーラは本物のDLLではなくその偽のDLLを読み込んで実行してしまいます。これは「DLLハイジャック」あるいは「任意のDLL読み込み」の一種として知られる典型的な脆弱性パターンです。

通常、正規のインストーラは自分が使用するDLLをプログラムと同じフォルダ内や決められた安全なパスから読み込むよう対策されています。しかしUPS Companion 2.xまでのインストーラではその対策が不十分であったため、例えば攻撃者が用意した不正なDLLをインストーラと同じフォルダ内に置くことで、それをインストール実行時に自動的に読み込ませることが可能でした。ユーザーがその状況に気付くことは難しく、画面上は通常通りインストールが進行するため、裏でDLL内の悪意あるコードが実行されても発覚しにくい構造です。このような不備により、インストーラは信頼できない場所からDLLを読み込んでしまうリスクを内包していました。

CWE-427（検索パス制御不備）とは何か：DLLハイジャックにつながる脆弱性の技術的背景を詳細に解説

このインストーラの問題は脆弱性分類上、CWE-427「Uncontrolled Search Path Element」（制御不備な検索パス要素）に該当します。これはアプリケーションがライブラリや実行ファイルをロードする際に、検索パスの指定が不適切なために意図しないファイルを読み込んでしまう弱点を指します。WindowsではプログラムがDLLをロードする際、特定の順序でディレクトリを検索しますが、開発者が明示的にパスを指定しないとカレントディレクトリやシステムディレクトリなども探索対象に含まれてしまいます。そのため、本来は読み込むべきでない場所に同名のDLLが置かれていると、誤ってそれをロードしてしまうのです。

今回のケースでは、インストーラが必要とするDLLファイル名と同じ名前の悪意あるDLLを攻撃者が用意し、インストーラと同じフォルダに配置しておくことで脆弱性を突くことが可能でした。CWE-427は俗に「DLLプリロード攻撃」や「DLLハイジャacking」と呼ばれる攻撃を許す原因となる欠陥です。過去には多くのWindowsアプリケーションが同様の問題を抱えており、開発者は対策としてDLLロード時にフルパスを指定する、あるいは安全なディレクトリのみを検索する設定を行うことが推奨されています。UPS Companionではその対策が不十分だったために、攻撃者に付け込まれる結果となりました。

悪意のDLLが読み込まれるシナリオ：インストーラ実行時に攻撃者が権限を得る具体的な方法と侵入プロセスを解説

それでは、具体的に攻撃者はどのようにこの脆弱性を悪用するのでしょうか。その典型的なシナリオの一つはユーザーに細工されたセットアップ実行環境を使わせることです。攻撃者はまずUPS Companionの正規インストーラ（例えばSetup.exe）と同じ名前のDLL（例えばSomeLibrary.dll）を悪意を込めて作成します。そしてその偽DLLを、ユーザーがインストーラを実行しそうなフォルダに潜ませておきます。例えば、メール等でユーザーにインストーラ一式（実行ファイルとDLL郡）を送付し、「こちらのアップデートを適用してください」と偽って任意のフォルダに展開させる、といった手口が考えられます。ユーザーが何の疑いもなくそのフォルダ内のインストーラを実行すると、同じ場所に置かれていた偽DLLが正規のDLLよりも優先的にロードされ、攻撃者のコードが実行されてしまいます。

別のシナリオとしては、攻撃者が予め被害PC上の特定のディレクトリに偽DLLを仕込んでおき、ユーザーが公式サイトからダウンロードしたインストーラをそこに保存して実行するケースもあります。例えば標的ユーザーのダウンロードフォルダに偽DLLを忍ばせておき、そこにインストーラがダウンロード・実行されれば、同様に不正DLLが読み込まれます。このように、ユーザーの不注意や攻撃者の誘導によってインストーラ実行環境を汚染することで、攻撃者は当該脆弱性を悪用できます。

攻撃が成功すると、インストーラのプロセス内で攻撃者のDLLコードが実行されます。一般にソフトのインストール作業はシステム変更を伴うため管理者権限で実行されることが多く、その場合攻撃者コードも管理者権限で動くことになります。つまり、標的システムにおいてフルコントロールの権限を攻撃者が奪取するのと同義です。一度管理者権限を得てしまえば、攻撃者はバックドアを仕掛けたり、ログを消去したりといったあらゆる不正操作が可能になるため、被害は極めて深刻です。

ユーザー権限（管理者実行時）での悪用リスク：インストール実行時の影響範囲と被害可能性、注意点を詳しく解説

インストーラの脆弱性により実際にどのような被害が生じ得るか、権限と影響範囲の観点から整理します。まず、ユーザーがソフトを管理者権限でインストールした場合、前述の通り攻撃者はその高い権限のもとで任意コードを実行できます。これにより、システムファイルの変更、他プログラムのインストール、レジストリの書き換えなど、OSの中枢にも干渉できる状態となり、PCの乗っ取りが完了してしまいます。企業内端末で起これば情報漏えいやランサムウェア感染など重大インシデントに直結します。次に、もしユーザーが標準権限のままインストールを実行していた場合（例えば限定ユーザーでログイン中にプログラムを実行し、UAC昇格をキャンセルしたケースなど）でも、少なくともそのユーザー権限の範囲内では任意操作が可能になります。標準ユーザーでも個人ファイルへのアクセスやキーロガーの設置程度はできるため、被害は無視できません。

幸い、この攻撃が成立するにはユーザー側でインストーラを実行するといった明確なトリガーが必要です。また、攻撃者は事前にDLLを仕込むかユーザーを騙す必要があるため、完全な遠隔攻撃（ユーザー無操作で成立）はできません。それでも、例えば標的型メールで巧妙に細工すればユーザーに実行させることは十分可能ですし、一度でも実行されてしまえば被害は極めて深刻です。この脆弱性のCVSS基本値は8.6（High）と評価されました。低い複雑性で攻撃が可能な点や、管理者権限奪取による機密性・完全性・可用性への高い影響度が考慮された結果です。インストール作業という日常的な行為に紛れて攻撃が完了してしまう点で、ユーザーの不注意に付け込むソーシャルエンジニアリング的な要素も含むため、十分な注意と対策が求められます。

開発元の対応：修正アップデート（バージョン3.0）の提供によるインストーラ脆弱性の解消とアップデート適用の推奨

この脆弱性に対してEaton社は迅速に対応し、UPS Companionソフトウェアの新版となるバージョン3.0をリリースしました。バージョン3.0では問題のインストーラが修正されており、ライブラリ検索パスの挙動が適切に制御されています。その結果、前述のような不正DLLの読み込みは発生しなくなりました。開発元のセキュリティ通知でも「本脆弱性は最新版へのアップデートで解消される」ことが明言されており、ユーザーに対して速やかにソフトを更新するよう強く促しています。修正版はEaton社の公式サイトから無償でダウンロード可能であり、既存ユーザーはインストールするだけで脆弱性を解消できます。なお、Eaton社ではアップデートが適用できない事情がある場合の暫定措置も提示していますが、基本的にはアップデートの適用こそが根本的解決策です。被害防止のため、まだ旧バージョンのUPS Companionをお使いの場合は、できるだけ早急に最新版へ更新することが推奨されます。

EATON UPS Companionの引用符で囲まれていない検索パスの脆弱性 (CVE-2025-59888) ― SYSTEM権限で任意コード実行の可能性

サービス実行ファイルのパスに引用符なし：Windowsサービス起動時に生じる特有の脆弱性の一つとされる危険性

2つ目の脆弱性は、UPS Companionインストール後に作成されるWindowsサービスの設定に起因するものです。サービスの実行ファイルパスが引用符で適切に囲まれていないために発生する脆弱性で、これはWindowsプラットフォームに特有の問題の一つとされています。通常、Windowsでサービスを登録する際には「"C:\Program Files\Eaton\UPS Companion\CompanionService.exe"」のようにパス全体を引用符（ダブルクオーテーション）で囲んで記録します。しかしUPS Companionの旧バージョンではこの引用符が欠如していた可能性があり、その場合Windowsはパス名中の空白文字（スペース）を区切りと解釈してしまいます。例えば、上記パスが引用符なしで登録されていると、システムは「C:\Program」というファイルを実行しようと試みてしまうのです。これは存在しないはずの実行ファイルですが、もし攻撃者が管理者権限でその名前の不正プログラム（C:\Program.exe）を用意できれば、本来のサービスではなくそのプログラムが起動されてしまいます。

この問題はWindowsのサービスやスケジュールタスク設定でしばしば問題となる「アンクオート・パス（Unquoted Path）」の脆弱性です。プログラムパス中にスペースが含まれる場合、引用符がないとシステムはパスを途中で区切って解釈する仕様があります。そのため、攻撃者はパスの一部となる名前で悪意ある実行ファイルを用意し、OSに誤認させて実行させることが可能となります。UPS CompanionではWindowsサービスとしてUPS監視のバックグラウンド処理を行うコンポーネントが登録されますが、その際のパス指定に引用符が抜けていたことで、上記のような攻撃余地が生まれていました。この種の脆弱性はWindows環境特有ではありますが、広く知られた問題でもあり、多くのソフトウェア開発者が注意を払っている点です。残念ながらUPS Companion 2.x系ではその対策が漏れていたため、今回の指摘に至りました。

CWE-428（引用符なしの検索パス）の概要：問題の原因とメカニズムを詳しく解説

サービスのパス名に関する今回の欠陥はCWE-428「Unquoted Search Path or Element」に分類されています。これは前述の通り、パス名に空白を含むにもかかわらず引用符で囲んでいないために生じるセキュリティ上の問題です。原因は単純で、Windowsがプログラム実行時にパス名を解釈する際、空白で区切ってしまうことにあります。例えば、パスC:\Program Files\App\app.exeが引用符なしで渡されると、システムはまずC:\Programを実行しようとします。このとき存在する最初の一致としてC:\Program.exeが見つかればそれを起動してしまうわけです。攻撃者はこれを利用し、本来存在しないはずのC:\Program.exeを置いてサービス起動時に実行させる手口をとります。

本来、サービス登録時には自動的に引用符が付加されるのが一般的ですが、何らかの理由でUPS Companionでは欠落していたようです。CWE-428に該当する不備は古くから指摘例が多く、Windows管理者の間では「サービス登録時にはパスを必ず引用符で囲む」ことが教訓として知られています。それでも、当該問題が残存してしまった場合には、前述のような攻撃を許す恐れがあります。要するに「スペースを含むパスは必ずダブルクォーテーションで囲むべし」という基本が守られていなかったために発生した脆弱性だと言えます。

SYSTEM権限への権限昇格の恐れ：CVE-2025-59888がもたらす深刻なリスクについて詳しく解説

サービスのパス設定ミスにより、最悪の場合にはWindowsのSYSTEM権限へ権限昇格が発生し得ます。SYSTEM権限とはWindowsにおける最上位の特権アカウントであり、管理者（Administrator）権限をも凌ぐ全権を持つアカウントです。攻撃者が万一この権限を取得してしまうと、そのコンピュータ上で出来ない操作は皆無と言ってよく、完全に乗っ取られたのと同義になります。CVE-2025-59888はまさにこのSYSTEM権限獲得（特権昇格）につながりかねない点が最大のリスクです。実際、Eaton社の評価でもCVSS基本値6.7（中程度）ながら、機密性・完全性・可用性の影響はいずれも「高」とされています。これは前提条件の厳しさからCVSSスコア自体は中程度に留まるものの、ひとたび成功すれば被害が甚大であることを意味します。

権限昇格攻撃は単独では外部から侵入できないものの、例えば社内ネットワークに一度侵入した攻撃者がさらなる特権獲得の手段として悪用するケースがあります。一般ユーザー権限で侵入されたとしても、本脆弱性を利用してSYSTEM権限まで昇格されてしまえば、攻撃者はウイルス対策ソフトの無効化やOS設定変更すら可能となり、防御が極めて困難になります。また、内側からの攻撃（内部脅威）にも弱く、例えば従業員が自身の標準ユーザー権限から管理者権限を不正に得る手段として利用される恐れもあります。以上のように、CVE-2025-59888は「攻撃の成否にハードルはあるが、成功すればシステム壊滅的な被害につながる」という非常に危険な脆弱性です。

攻撃の前提条件：ルートディレクトリへの書き込み権限を持つ特殊な環境が必要となり、条件を満たす場合にのみ攻撃が成立する

もっとも、CVE-2025-59888の悪用にはいくつかの前提条件があります。最大のハードルは、攻撃者がSYSTEM権限昇格に用いる実行ファイル（例のC:\Program.exeなど）を配置できることです。Windowsでは通常、システムドライブ直下（C:\）やC:\Program Files\配下への書き込みは管理者以上の権限が無いと行えません。従って、攻撃者が遠隔から標的PCに侵入した直後すぐにこの脆弱性を悪用できるとは限らず、まず何らかの方法で管理者権限に近いアクセス権を得ている必要があります。または、システムの設定が特殊で一般ユーザーにもルートディレクトリ書き込みが許可されているようなケースですが、標準的なWindows環境では考えにくい設定です。

以上から、本脆弱性が攻撃に使われるのはある程度シナリオが限定されます。例えば、既に標的PC内に標準ユーザー権限で潜伏したマルウェアが、さらなる特権昇格の手段として本脆弱性を利用するといった流れが考えられます。この場合、マルウェアはまず管理者に昇格するためC:\直下に所定の名前の不正プログラムを書き込み、次回UPS Companionのサービスが起動されたタイミングでそれを実行させるでしょう。他には、内部犯行でPCに直接アクセスできる人物がいる環境で、その者が意図的にSYSTEM権限獲得を狙い本脆弱性を利用する、といったケースも排除できません。いずれにせよ攻撃成功には特殊な権限や環境を要し、条件を満たす場合にのみ攻撃が成立するため、幸い容易に誰もが悪用できる類の脆弱性ではありません。その点がCVSSスコアに反映され、8.6のインストーラ脆弱性に対し本件は6.7と低めになっている理由です。

適切な対策：サービスパスの修正と脆弱性封じ込め方法、推奨対策（アップデート適用等）を詳しく解説

CVE-2025-59888への根本対策は、問題のサービス実行パスを正しく引用符で囲むことです。Eaton社は最新版ソフトウェアでこの修正を実施済みであり、バージョン3.0ではサービス登録時にパスが自動的に引用符付きで設定されるようになりました。そのため、最新版を適用すれば当該脆弱性は解消します。基本的な対策手順はインストーラ脆弱性の場合と同様で、ソフトを最新版にアップデートすることです。既にUPS Companionを運用中の場合でも、最新版インストーラを実行すればソフトとサービス設定が更新され、引用符漏れも修正されます。

仮に何らかの理由ですぐにアップデートできない場合の緩和策として、サービス設定を手動で修正する方法も考えられます。具体的にはWindowsのレジストリエディタで当該サービスのImagePath値を確認し、パス全体を引用符で囲んで正しい形式に修正する方法です。ただしレジストリ操作は慎重さを要し、誤るとシステムに不具合を生じかねません。そのため、あくまで応急処置として限定的に検討すべきです。基本的には早期にベンダー提供の修正パッチを適用するのが安全策となります。また、万一アップデートできない期間が発生する場合には、その間に悪用を防ぐため、UPS CompanionがインストールされたPCへの物理・リモート双方のアクセス制限を強化したり、不審なファイルがシステム直下に置かれていないかチェックするなどの対処も有効です。

脆弱性の影響範囲：EATON UPS Companion 3.0未満のバージョンが対象、アップデートによる対策必須

影響を受けるバージョン：EATON UPS Companion 3.0未満の全バージョンが脆弱性の影響下にある

今回の2件の脆弱性は、UPS Companionソフトウェアのバージョン3.0未満（2.x系およびそれ以前の全バージョン）で存在が確認されています。Eaton社から提供された情報によれば、「バージョン3.0より前のすべてのバージョンが当該脆弱性の影響を受ける」とされており、裏を返せば最新版の3.0では問題が修正済みということになります。したがって、現在お使いのUPS Companionがどのバージョンか確認し、3.0未満であれば本脆弱性の影響下にあると認識する必要があります。

なお、UPS Companionは製品付属のCDなどからインストールして長くアップデートせず使われ続けるケースも考えられます。当ソフトは電源管理という用途上、一度セットアップすると半永久的にそのまま運用されがちで、一般のアプリケーションのように頻繁に更新チェックを促されることも少ないかもしれません。しかし、バージョン2.x系で放置されている場合は今回の脆弱性に晒され続けることになるため注意が必要です。まずは現在利用中のバージョン確認を行い、旧版であれば速やかにアップデートに取り掛かることをお勧めします。

アップデートの必要性：脆弱性修正のため最新バージョン（3.0）への早急な移行が強く推奨されている

脆弱性への根本対策は、Eaton社が提供する最新バージョン（3.0）へのアップデートを適用することです。開発元・調整機関ともに、今回の脆弱性に対処するにはアップデート以外に確実な解決策はないと強調しており、ユーザーに対して「できるだけ早急に最新版へ移行するよう」強く推奨しています。特にインストーラの脆弱性はユーザーの操作タイミング次第で突如悪用される可能性があり、またサービスの脆弱性も一度悪用されれば極めて深刻です。そのため、まだ2.x系を使用している場合は「自分の環境は大丈夫」と油断せず、速やかに対策版へ更新することが求められます。幸い、ソフトのアップデート作業はそれほど手間のかかるものではありません。Eaton社の公式サイトから最新版インストーラを入手し、画面の指示に従ってインストールするだけで完了します。

脆弱性公表後、開発元からは全ユーザーにアップデート実施を促す案内が出されています。IPAやJPCERT/CCの注意喚起文書でもアップデートの必要性が繰り返し述べられており、特に企業利用の場合は放置しないよう強い口調で呼びかけがなされています。以上より、本脆弱性に対してはアップデート以外に有効な恒久対策はなく、「アップデートが必須の緊急対応事項」であると心得てください。

未更新時のリスク：古いバージョンのままでは攻撃を受ける危険性が高まり重大な懸念が生じる恐れがある

UPS Companionをアップデートせず古いバージョンのまま使い続けた場合、どのようなリスクがあるでしょうか。まず、既知の脆弱性が残っているソフトは攻撃者にとって格好の標的となります。一度脆弱性情報が公開されれば、悪意ある第三者がそれを解析して具体的な攻撃手法（エクスプロイト）を開発することも珍しくありません。実際、CVE番号が割り当てられた脆弱性は公開データベースで広く閲覧可能であり、攻撃者も情報を入手できます。したがって、アップデートを怠っていると、将来的に当該脆弱性を突くマルウェアや攻撃が出現した際に真っ先に狙われてしまう危険があります。

特に企業環境では、脆弱性を抱えたソフトウェアを放置することで組織全体のセキュリティホールとなりかねません。例えば社内PCの一部でUPS Companionを旧版のまま使っていた場合、攻撃者はまず比較的侵入しやすい末端PCにマルウェアを潜伏させ、次にUPS Companionの脆弱性を利用して管理者権限を奪取し、そこから社内ネットワークに対する横展開（ラテラルムーブメント）を試みる、といった手口が考えられます。結果、組織内の機密データが盗まれたり業務システムが破壊されたりする重大な被害につながる恐れがあります。

家庭においても油断は禁物です。一般家庭でUPS Companionが直接狙われる可能性は低いかもしれませんが、ゼロではありません。例えば、既知の脆弱性を悪用するウイルスに偶然感染した場合、自宅PC内で当ソフトの脆弱性が攻撃に利用され、被害が深刻化する可能性があります。また、家庭内の他のデバイス（NASやホームサーバー等）に波及するリスクも否定できません。このように未更新ソフトを放置することは「潜在的な爆弾」を抱え続けるようなものであり、早期の対策が強く望まれます。

推奨される対応策：確実にアップデートを適用するための手順とアップデート後の確認ポイントを具体的に解説

脆弱性対策としてまず実行すべきは、言うまでもなくソフトウェアのアップデートです。具体的な手順としては、Eaton社公式サイトのダウンロードページからUPS Companionの最新版インストーラ（3.0版）を入手し、管理者権限で実行します。インストーラの画面に従ってアップデート処理を完了させれば、ソフト本体および関連サービスの設定が新しいバージョンに置き換わります。既に旧版がインストールされている場合でも、上書きインストールにより設定が更新されるため、特別なアンインストール作業は不要です。

アップデート適用後、いくつか確認すべきポイントがあります。まず、ソフトウェアのバージョン表示を確認し、確かにバージョン3.0になっていることを確認してください。次に、サービスが正常に動作しているか（UPSとの通信が行われ、ステータスが取得できているか）チェックします。加えて、脆弱性が修正されたことを検証する簡易な方法として、サービスの実行パス設定を確認するのも良いでしょう。Windowsの「サービス管理ツール」からUPS Companionのサービスプロパティを開き、「パス」が引用符付きになっていることを目視で確認できます。例えば"C:\Program Files\Eaton\UPS Companion\Service.exe"のように表示されていれば修正後の状態です（旧版では引用符無しでした）。また、インストーラの脆弱性に関しては、開発元から明示的な検証方法は示されていませんが、基本的にアップデート完了していれば問題ありません。

そのほか、ネットワーク管理者向けの対応策として、組織内でUPS Companionを導入しているPCの洗い出しと一斉更新も推奨されます。資産管理ツール等を用いて当該ソフトのバージョンを監査し、旧版が残っていないか確認しましょう。残存があれば速やかに最新版へ更新する計画を立て、一時的にでも利用停止できる場合はアップデートまでサービスを停止しておくと安全です。加えて、今回のような問題に限らず、日頃から周辺ソフトウェアも含めた定期的なアップデート確認を行う体制づくりが重要です。

ユーザーへの影響範囲：家庭から企業まで広がるリスクと様々な環境での危険性が存在し幅広い利用シーンに影響

UPS Companionの脆弱性は、その利用者層の広さから見ても無視できません。Eaton UPSは家庭用から業務用まで幅広く提供されており、それに伴ってUPS Companionソフトも様々な環境で使われています。例えば家庭では個人がデスクトップPCのシャットダウン制御に利用しており、企業ではオフィスのサーバー群や工場の制御システムなどでUPS管理に組み込まれていることがあります。家庭から企業まで広がる利用シーンにおいて本脆弱性によるリスクが存在するため、あらゆるユーザーが対策を講じる必要があります。

一般家庭の場合、サイバー攻撃の直接的標的となる可能性は低めですが、それでも油断はできません。近年のマルウェアは脆弱なソフトウェアを自動検出して感染拡大を図る機能を持つものもあります。もしUPS Companion旧版をインストールしたPCがインターネット経由のマルウェアに一度侵入されてしまうと、本脆弱性を利用して権限昇格を許し、駆除が困難なルートキットを仕込まれる恐れもあります。一方、企業や組織においては、内部の人間が物理的に攻撃を試みるケースや、既に一部侵入されている状態からさらなる被害拡大を狙われるケースなど、複雑な脅威シナリオが考えられます。例えば、データセンターでUPS Companionが管理する複数サーバーの一台に攻撃者が入り込んだ場合、そのPCを起点に管理者権限を得て他の重要サーバーにまで横展開するリスクがあります。

このように本脆弱性の影響範囲は多岐にわたり、利用環境を問わず注意が必要です。家庭・企業を問わず、UPS Companionをご利用の方は適切な対策を講じ、安全な運用を心がけることが重要です。

IPAとJPCERT/CCの注意喚起：EATON UPS Companionの複数の脆弱性に対する対策呼びかけ

IPA（情報処理推進機構）からの注意喚起：公式サイトで脆弱性情報を公開し、利用者に迅速な対策実施を強く要請

IPAは2026年1月13日付で本脆弱性に関する注意喚起を公式サイト上に公開しました。この注意喚起では、UPS Companionに複数の脆弱性（CVE-2025-59887および59888）が存在し、悪用された場合に任意のコード実行など重大な影響が生じる恐れがあることが示されています。IPAは脆弱性の概要と影響範囲を説明するとともに、開発元が提供する対策アップデートが公開された旨を伝え、ユーザーに対して速やかにソフトウェアを更新するよう強く要請しました。具体的には、「EATON社から修正版（Ver.3.0）がリリースされているので、影響を受けるユーザーは早急にアップデートを適用してください」という内容です。また、アップデート方法など詳細についてはJVNなどの参照情報を示し、利用者が適切な対処を取れるよう誘導しています。

IPAによるこの発表は、日本国内の幅広い利用者層へ向けた公式な注意喚起です。IPAは国家機関として重要インフラや一般企業への周知も担っており、今回のようなPC周辺ソフトウェアの脆弱性でも迅速に情報提供を行います。IPAから注意喚起が出たということは、本件脆弱性がそれだけ多くのユーザーに影響する恐れがあると判断された表れと言えます。特にUPSは災害対策として多くの現場で使われているため、IPAは「他人事ではなく自分事として捉えて欲しい」という姿勢で利用者に迅速な対策実施を呼びかけています。

JPCERT/CCによる情報公開：JVNでの詳細情報と分析コメント、および技術的アドバイスを発信した

JPCERT/CCもIPAと協調して、JVNおよび自組織の脆弱性関連情報サイトで本件の詳細を公開しました。JVN#48187396では脆弱性の概要・影響・対策が英語および日本語で記載され、関係するCWEやCVEへのリンクが掲載されています。またJPCERT/CCは調整役として得た情報をもとに、脆弱性の技術的分析や追加のコメントを提供しています。具体的には、JVN内に「Arbitrary code may be executed with the privilege of the user invoking the installer (CVE-2025-59887)」「A user with write privileges on the root directory of the system drive may execute arbitrary code with SYSTEM privilege (CVE-2025-59888)」といった技術的な影響内容の解説を記載しています。これはIPAの注意喚起が主に日本語で概要を伝えるのに対し、JPCERT/CCは専門家向けに詳細を英文で補完する役割も果たしている形です。

さらに、JPCERT/CCは本事案への対応を通じて得られた教訓や推奨事項も発信しています。例えば、「インストーラ実行時のDLL読み込みには十分注意すること」や「サービス登録時にはパスの引用符漏れに気を付けること」といった、開発者や管理者向けのアドバイスも関連資料で提示されました。これらは直接JVN上に掲載されたわけではありませんが、JPCERT/CCが運営するブログやTwitter等の情報チャネルで技術的な補足説明として提供されています。JPCERT/CCは単に情報を公開するだけでなく、再発防止や類似脆弱性への注意喚起といった観点からも情報発信を行っており、今回もそうした技術的アドバイスがなされています。

注意喚起の内容：脆弱性の深刻さを示し、早急なアップデートの必要性を強調する警告内容で、利用者に警鐘を鳴らす

IPAおよびJPCERT/CCから発せられた注意喚起文書の内容をまとめると、以下のポイントに集約されます。第一に、今回の脆弱性が放置するとどれほど深刻な被害に繋がり得るかを強調しています。具体的には「任意のコード実行」や「SYSTEM権限奪取」といった最悪のシナリオが明記され、利用者に危機感を持たせる表現が取られています。第二に、そうした事態を避けるために「アップデート適用が不可欠である」ことを繰り返し訴えています。例えばIPAの文章では「開発元が提供する修正プログラムを適用してください」と太字で書かれており、JPCERT/CCもJVNで「アップデートによる修正」をソリューションとして明示しています。第三に、影響を受けるバージョンや製品範囲を具体的に示し、自分が該当ユーザーかどうか判断できる情報が提供されています。これにより、「自分には関係ない」と軽視されないよう配慮されています。

総じて、注意喚起文は利用者に危機感を与え速やかな行動を促す内容となっています。言い換えれば「このままでは危ない、今すぐ対処せよ」という警鐘を鳴らすメッセージです。実際、IPAやJPCERT/CCの発表資料では「深刻な被害のおそれがある」「早急なアップデートを」といった表現が随所に見られ、事態の重大さが繰り返し示されています。脆弱性情報は時に技術的で難解になりがちですが、今回の注意喚起は重要な点を誰にでも伝わるよう平易な言葉でまとめ、具体的な行動（アップデート）が取れるよう構成されています。このアプローチにより、多くのユーザーに危機感と必要な知識を与え、対策実施へと動機付ける効果が期待されています。

企業向けのガイダンス：組織における迅速な対応の必要性とシステム管理上の注意点が強調されている

IPAとJPCERT/CCの発表では、一般ユーザーだけでなく企業や組織のシステム管理者に向けた注意喚起も含まれています。企業環境でUPS Companionを利用している場合、当該脆弱性によるリスクは一台のPCに留まらず組織全体のセキュリティ問題となり得るためです。注意喚起文では「組織において迅速な対応が必要」と明記され、情報システム担当者が早急にアップデート適用計画を立てるよう促しています。また、複数台の端末でUPS Companionを使用している場合は一括更新の方法を検討することや、脆弱性が解消されるまでの間に一時的な緩和策（サービスの停止やネットワーク隔離など）を講じることも推奨されています。

さらに、システム管理上の注意点として、今回のような脆弱性から教訓を得て今後の運用に活かすためのアドバイスも示唆されています。例えば「管理者権限を要するソフトのインストールは計画的に実施し、不要になったインストーラは削除すること」や、「サービス設定に不備がないか定期的に点検すること」など、安全管理上のポイントが挙げられています。JPCERT/CCからは技術文書を通じて「脆弱性対策は単発で終わらせず、継続的なシステム点検・改善が重要」といった趣旨のメッセージも発信されており、組織としてのセキュリティ対策体制を見直す契機ともするよう呼びかけています。

一般ユーザーへの助言：家庭用UPS利用者が取るべき対策と安全確保のポイントや注意点が具体的に説明されている

一方、一般の家庭ユーザーや個人ユーザーに向けても分かりやすい助言が提供されています。IPAの注意喚起では、技術的な詳細に踏み込みすぎず「該当製品をお使いの方は開発元提供のアップデートを適用してください」という核心メッセージが示されています。また、必要に応じてアップデート手順の案内（公式サイトへのリンクや問い合わせ先）も提示され、対策に戸惑わないよう配慮されています。例えば「Eaton社のダウンロードページから最新版を入手しインストールしてください」といった具体的な対処方法が明記されています。これにより、専門知識のないユーザーでも迷わず実行に移せるようになっています。

さらに、家庭用UPS利用者向けには安全確保のポイントとして「普段からソフトウェアを最新状態に保つこと」の大切さが説かれています。IPAは「UPS管理ソフトに限らず、PCにインストールしているソフトウェアは常に最新の状態にアップデートしましょう」と注意喚起文で述べており、今回の件を教訓にした一般的なセキュリティ習慣の推奨も行っています。また、「不審なメールからソフトを実行しない」「信頼できる公式サイトからプログラムを入手する」といった基本的な注意事項にも触れられており、これはインストーラの脆弱性を悪用する社会工程（ソーシャル）攻撃への警戒を促すものです。総じて、一般ユーザーに対しては具体的な対策手順と再発防止の心得がバランスよく示されており、今回限りでなく今後の安全なPC利用にも役立つ助言となっています。

Eaton社のセキュリティ通知と対応：深刻度の高いUPS Companion脆弱性へのアップデート推奨

Eaton社の脆弱性公表：公式サイト上のセキュリティ通知で問題を認識しユーザーにアップデートなど対策を提示

UPS Companionの開発元であるEaton社は、脆弱性報告を受けて公式のセキュリティアドバイザリ（脆弱性情報通知）を公開しました。この通知は「ETN-VA-2025-1026: Eaton UPS Companionソフトウェアにおける複数のセキュリティ問題」というタイトルで、2025年12月24日付けで発行されています。内容としては、今回報告された2件の脆弱性の概要・影響度・対策が詳しく記載されており、ユーザーに対してアップデートの実施という具体的な対応策が提示されました。Eaton社はこの中で「最新版へのアップデートにより本脆弱性を修正した」ことを明言し、利用者が取るべき行動（ソフトウェアのバージョン3.0への更新）を明確に示しています。

また、Eaton社はセキュリティ通知内で今回の問題の深刻さを認め、顧客に対して注意喚起を行いました。具体的には「複数の高～中程度の深刻度の脆弱性が存在する」とした上で、早急に対応版への移行を呼びかけています。さらに、当該通知にはアップデートの入手先リンクやサポート問い合わせ先も記載されており、ユーザーが迷わず対策を講じられるよう配慮されています。Eaton社からこのような公式通知が出されたことで、開発元自身が問題を深刻に受け止め対策を講じたことが利用者にも明確に伝わりました。

高深刻度の評価：最もリスクが高い脆弱性に対する警告とCVSSスコア情報（CVE-2025-59887は高リスク、59888は中程度）

Eaton社のセキュリティ通知では、本件脆弱性の深刻度評価が具体的な数値とともに示されています。特にインストーラの脆弱性（CVE-2025-59887）について、CVSS v3.1基本値8.6という高いスコアが付けられました。これは「High（高）」に分類される深刻度で、攻撃成立の容易さ（攻撃元はローカルだが低複雑度・要ユーザー操作）と、成功時の影響範囲（機密性・完全性・可用性すべて高い影響）を反映した結果です。一方、サービスの脆弱性（CVE-2025-59888）はCVSS基本値6.7と算出され、こちらは「Medium（中）」相当の深刻度と評価されました。攻撃に管理者権限が必要などハードルがある点がスコアを下げましたが、それでも成功すればSYSTEM権限奪取という重大な結果を招くため、注意すべき脆弱性であることに変わりありません。

このようにEaton社は数値をもってリスクの大きさを提示し、ユーザーに危機感を持ってもらう工夫をしています。CVSSスコアは一般ユーザーには馴染みが薄いかもしれませんが、「8.6/10」という数字を見ることで「非常に危ない問題なのだ」と直感的に理解できる効果があります。また、Eaton社通知内では脆弱性内容についても「ライブラリの不適切な読み込みにより攻撃者がコードを実行し得る」「検索パスの引用符不足により攻撃者がSYSTEM権限でコードを実行し得る」と警告的に記載されています。こうした記述からも、開発元が本件を重大インシデントになり得る問題と認識していることが読み取れます。

バージョン3.0へのアップデート提供：修正済みソフトウェアの入手方法と適用手順が案内されている

Eaton社は脆弱性修正のためのアップデート版（バージョン3.0）を既に提供済みであり、セキュリティ通知内でその入手方法と適用手順についても案内しています。具体的には、同社公式サイトのサイバーセキュリティページに最新版ソフトウェアのダウンロードリンクが掲載されており、誰でも入手可能です。また、「Customers are advised to migrate to the secure version by updating their software to version 3.0」すなわち「ソフトウェアをバージョン3.0にアップデートして安全な版へ移行するよう勧告する」と明記されています。これは事実上、アップデート適用が正式な解決策であることを示しています。

アップデート手順については、通知内で「最新版リリースのリンク」を提示するとともに、「Eatonの公式ソフトウェア配布チャネルからEUCソフトウェアをダウンロードすることを推奨」と記載されています。つまり、正規の入手先からパッチを取得するよう呼びかけており、第三者配布物や非公式ソースを避けるよう注意しています。さらに、アップデート適用後も何らかの理由で問題が残る場合に備え、Eaton社のサポート窓口への連絡先も案内されました。必要であればローカルのEaton担当者やサポートに相談し、パッチ適用を支援してもらうことも可能です。これらの情報提供により、ユーザーはどこからソフトをダウンロードし、どのように適用すれば良いか明確に把握できるようになっています。

ユーザーへの呼びかけ：速やかなアップデート実施の重要性が強調され、サポート情報も提供されている

セキュリティ通知では、Eaton社からユーザーへの強い呼びかけも行われています。冒頭で述べた通り、最新版への更新が最善の対策であり早急に実施すべきと繰り返し強調されています。Eaton社は「Customers are advised to migrate to the secure version…」と述べており、この「勧告（advised）」という表現は実質的に「直ちに更新すべき」と同義の強いトーンです。また、アップデート適用の重要性だけでなく、適用方法や問い合わせ先といったサポート情報も丁寧に提供されています。通知末尾には「ローカルのEatonサポート担当者か以下のリンク先に問い合わせてください」とあり、必要に応じ専門的な支援を受けられることが示唆されています。

加えて、Eaton社は本脆弱性に関する情報を顧客向けにメール配信したり、公式ブログで解説記事を掲載したりといった周知活動も行っているようです。これは推測の域ですが、同社の他製品で脆弱性が見つかった際にはサポートサイト上でFAQ形式の案内を出すなど、ユーザーコミュニケーションに力を入れている実績があります。UPS Companionにおいても同様に、できる限り多くのユーザーへ情報が届くよう配慮していると思われます。

以上のように、Eaton社は開発元としての責任を果たすべく、迅速なパッチ提供と利用者への周知徹底を図りました。ユーザーとしては、この呼びかけに応じてアップデートを適用することが、自身のシステムを守るのみならず周囲への影響を防ぐことにもつながります。

将来への対応策：Eaton社が計画する継続的なセキュリティ強化策とサポート体制の改善

今回の脆弱性対応を受けて、Eaton社は今後の製品開発やサポート体制においてさらなるセキュリティ強化策を講じると考えられます。セキュリティ通知の中でも、「お客様が推奨される対策を完了し、ネットワーク全体のセキュリティを強化できるよう支援するサービスについての情報提供」について触れられており、これはEaton社が単発のパッチ提供に留まらず継続的なセキュリティ支援を行っていく姿勢を示唆しています。具体的には、今後のソフトウェア開発プロセスにおいて脆弱性検査を一層厳格化し、同種の不備を再発させない取り組みを進めるでしょう。また、重要顧客向けにはネットワーク全体のセキュリティ診断サービスや、アップデート適用を含めた運用支援サービスの充実が図られる可能性があります。

さらに、今回のケースではIPAやJPCERT/CCとの協調が功を奏しましたが、Eaton社としても独自にグローバルな脆弱性報奨金制度（バグバウンティ）等を導入し、外部からの指摘を積極的に受け入れる体制を整えることも考えられます。実際、同社は他の製品で重大な脆弱性が見つかった際に迅速なアップデートをリリースした実績があり、セキュリティ意識は高まってきています。今後もこの傾向を維持・強化し、ユーザーに安心して製品を使ってもらえるよう努めるでしょう。

ユーザー側から見ても、今回の一連の対応を機に定期的なアップデート確認やセキュリティ情報の収集を習慣化することが望まれます。Eaton社はセキュリティ情報ページで自社製品に関する脆弱性情報を随時公開していますので、UPS Companion以外の製品も含めフォローしておくと良いでしょう。開発元と利用者が共にセキュリティ向上に取り組むことで、将来的なリスクを低減し、安全なIT環境の維持につながります。