ご連絡・ご予約・アクセスはこちら

「AnyDeskが危険」というニュースを見て青ざめた人へ。落ち着いてください、たぶんそれ、別の話です

「AnyDeskが危険」というニュースを見て青ざめた人へ。落ち着いてください、たぶんそれ、別の話です
先日、こんなニュースが流れました。「リモートデスクトップ接続アプリ『AnyDesk』に未修正の脆弱性2件、ZDIがゼロデイ公表」。
未修正。脆弱性。ゼロデイ。並べただけで胃が痛くなる単語が3つ入っています。当店にも「AnyDeskって危ないんですか?」というお問い合わせがありました。
先に結論を言います。今回のニュースを理由に、あなたのパソコンが乗っ取られたり、情報を抜かれたりすることはありません。
ただし——AnyDeskについて心配すべきことは、これとは別に、ちゃんとあります。今日はその「別のほう」の話まで書きます。よろしくお願いします。
まず、何が公表されたのか
Trend Micro のセキュリティチーム「Zero Day Initiative」(ZDI)が、2026年7月8日(米国時間)に AnyDesk の脆弱性2件を公表しました。いずれも修正パッチが提供されていない状態での公表なので、「ゼロデイ・アドバイザリ」という扱いになります。中身はこの2件です。
ZDI-26-400
画面録画ファイルの取り扱いの不備
ジャンクション(フォルダの参照先をすり替える仕組み)を作成することで、攻撃者がサービスを悪用して任意のファイルを作成できてしまう。結果として、システムをサービス拒否(DoS=動作不能)の状態にできる。
ZDI-26-401
サポート情報の送信(Send Support Information)機能の欠陥
手口も結果も400番とほぼ同じ。ジャンクションを使って任意のファイルを作成させ、DoS状態を引き起こせる。
2件に共通する事実
深刻度(CVSS基本値)はどちらも 4.7。CVE番号はまだ割り当てられていません。発見者は SiDi の Giuliano Sanfins 氏。なお、影響を受けるバージョンの範囲について、ZDIのアドバイザリに具体的な記載はありません(現行の最新版は 9.7.9・2026年7月6日公開)。
「CVSS 4.7」を、分解してみる
CVSSというのは脆弱性の深刻度を0〜10で表す共通指標です。4.7という数字だけ見ても「で、それは怖いの?」となりますよね。実はCVSSには、その点数の内訳が併記されています。今回のものはこれです。
AV:L / AC:H / PR:L / UI:N / S:U / C:N / I:N / A:H
呪文みたいですが、日本語にするとこうなります。ここが今日いちばん大事なところなので、一つずつ見てください。
AV:L = 攻撃元は「ローカル」
インターネット越しに、外から勝手に攻撃されるタイプではありません。攻撃者は、そのパソコンの「中」にいる必要があります。
AC:H = 攻撃条件の複雑さは「高」
条件が揃わないと成立しません。誰でも簡単に再現できる類のものではない、ということです。
PR:L = 必要な権限は「低」(ただしゼロではない)
ZDIの原文にはっきり書かれています。攻撃者はあらかじめ、そのPC上で低い権限のプログラムを実行できる状態になっていなければ、この脆弱性は突けません。
C:N / I:N = 機密性・完全性への影響「なし」
これが一番安心していい部分です。情報は盗まれません。データも改ざんされません。
A:H = 可用性への影響「高」
唯一ここが「高」です。つまり今回の脆弱性でできることは、突き詰めると「動かなくする」こと。それだけです。
まとめると、今回の脆弱性は「すでに家の中に侵入されている人だけが困る、鍵の不具合」です。玄関が破られていない人にとって、この鍵の不具合は今日の脅威になりません。
店長 店長より
正直に白状すると、私も見出しだけ見た瞬間に「うわ」と声が出ました。中身を読んで「……あ、はい」となりました。すみません。見出しに反応するのは正しい。反応したあとに3行読むのは、もっと正しい。
本当に引っかかるのは、技術じゃなくて時系列のほう
ZDIのアドバイザリを最後まで読むと、技術解説より読み応えのある部分があります。ベンダーとのやり取りの記録です。
2025/03
ZDIがAnyDeskのSOCチームへ2件を報告
2025/08
受領確認を催促 —— 反応なし
2025/09
反応がないため、ZDIが公表予定日を通告。その2日後、サポートチームが「セキュリティチームへ引き継いだ」と回答
2025/10
進捗を再度催促
2025/12
サポートチームから「これは自分たちの対応範囲外だ」との回答
2026/06
ZDIがゼロデイとして公表する意思を通告
2026/07
パッチ未提供のまま公表
報告から公表まで、約1年4か月。
ベンダー側の気持ちが、わからなくもないんです。深刻度4.7で、しかもローカル攻撃者限定のDoS。世の中にはもっと大きく燃えている火事がある。優先度を下げたくなる案件ではあります。
ただ、ここで思い出してほしいことがあります。セキュリティの世界では、単体では無害な部品が、組み合わさった瞬間に凶器になることがある。今回の脆弱性は「すでに侵入されている前提」でしか使えませんが、逆に言えば、侵入を成立させる別の脆弱性とセットになったとき、被害の大きさを一段引き上げる部品になり得るということです。深刻度が低いことは、「対応しなくていい」と同じ意味ではありません。
……と、ここから「ソフトウェアメーカーの脆弱性対応体制はどうあるべきか」という話に広げることもできるんですが、それをやると記事がまるごと別物になるのでやめておきます。ここはパソコン修理屋のブログです。現場の話に戻ります。
怖いのは脆弱性じゃない。「置き土産AnyDesk」のほうだ
ここからが本題です。
修理の現場で AnyDesk という名前を見かける機会は、実はそれなりにあります。ただしその多くは、お客様が自分の意思で入れたものではありません。
パソコンを使っていたら、突然けたたましい警告音とともに「ウイルスに感染しました」という画面が出る。表示された番号に電話をかけると、片言のオペレーターが出る。「今から遠隔で確認しますので、このソフトを入れてください」——そうやってインストールさせられるリモート操作ソフトの定番の一つが、AnyDeskです。いわゆるサポート詐欺の手口ですね。
そして「作業」(という名の何か)が終わったあと、そのソフトはアンインストールされずに残ります。私は勝手にこれを「置き土産AnyDesk」と呼んでいます。持ち込まれたパソコンのアプリ一覧に、本人がまったく心当たりのないリモート操作ソフトが鎮座している。あれを見つけたときの空気の重さは、なかなかのものです。
店長 店長より
誤解しないでいただきたいのですが、AnyDesk自体は真っ当なソフトです。ドイツのメーカーが開発していて、当店でも正規のリモートサポートで使うことがあります。悪いのは包丁ではなく、包丁を持った人のほう、というやつです。
だから、今回のニュースを見て本当に確認してほしいのは、これです。
「あなたのパソコンに入っているAnyDesk、あなたが入れましたか?」
で、結局どうすればいいのか
ZDIが今回示した唯一の緩和策は「製品との接触を制限すること」です。パッチがない以上、そう言うしかない。ただ、これを裏返すと、やることは結局2つに集約されます。
① 使っていないなら、消す
Windowsの「設定」→「アプリ」→「インストールされているアプリ」を開いて、AnyDesk を探してください。入れた覚えがなければ、アンインストール。ついでに TeamViewer、UltraViewer、Splashtop、Quick Assist といった他のリモート操作ソフトも一緒に見ておくといいです。
ただし要注意。身に覚えのないリモート操作ソフトが入っていた場合、それ自体が「過去に何かがあった」というサインです。消して終わりにせず、パスワードやネットバンキングの利用状況まで含めて一度きちんと確認したほうがいい。消したあとでは、何が入っていたのか追えなくなることがあります。
② 使っているなら、「誰が繋げるか」を把握する
・まずは最新版にしておく(今回の2件は未修正のままですが、それ以外の修正は入ります)
・無人アクセス(Unattended Access)のパスワードを設定・見直す
・アクセスリストで、接続してよい相手を絞る
・共有パソコンで、素性のわからないアカウントを放置しない(今回の脆弱性が成立する前提条件が、まさにこれです)
面白いのは——というと不謹慎かもしれませんが——この2つが、そのまま「置き土産AnyDesk」への対策にもなっていることです。ZDIが公表した脆弱性への正しい対処と、サポート詐欺への正しい対処は、途中まで同じ道を通ります。
まとめ
今回のニュース自体は、深刻度4.7・ローカル攻撃者限定・情報流出なし。一般ユーザーが慌てる必要はありません。
ただしパッチはなく、報告から1年4か月放置された経緯がある。「軽い」と「どうでもいい」は違います。
そして本当に確認すべきは「置き土産AnyDesk」。入れた覚えのないリモート操作ソフトが、いま自分のパソコンに残っていないか。
セキュリティのニュースは、見出しだけ読むと全部が世界の終わりみたいな顔をしています。でも中身を3行読めば、慌てるべきニュースとそうでないニュースは、だいたい見分けがつくものです。今回は、後者でした。
そして「後者だった」とわかったうえで、ついでに自分のパソコンのアプリ一覧を1回だけ見にいく。それができたなら、このニュースはあなたにとって十分に元が取れたニュースです。私からは以上です。ありがとうございました。
入れた覚えのないソフトが見つかったら
「あの警告画面、押してしまったかもしれない」「アプリ一覧に知らない名前がある」——そんなときは、自己判断で消してしまう前に一度ご相談ください。何が入っていたのかは、消したあとでは追えなくなることがあります。苫小牧のパソコン修理・サポート、ピシコがお受けします。まずはご相談から。
LINEのメッセージは24時間受け付けています。返信は 月〜土 9:30〜19:00 の間に順次おこないます。
本記事は2026年7月11日時点の公開情報にもとづいています。今後CVE番号の割り当てや修正パッチの提供があった場合、内容が変わる可能性があります。
ピシコの本田秀行
シェアお願いします!!
ABOUT US
アイコン
ピシコ
苫小牧でパソコン修理店「ピシコ」を16年経営。 毎日テックブログを更新しながら、 企業のAI導入・業務自動化を伴走支援しています。 自分の会社で実装した「自動化」: ✅ 予約システムの完全自動化 ✅ 見積書の自動生成 ✅ 請求書の自動発行 あなたの会社でも、同じ仕組みが作れます。 📞 初回30分無料オンライン相談実施中