cPanel・WHM認証バイパス脆弱性（CVE-2026-41940） | 2026年5月1日

東京セキュリティブリーフィング 2026年05月01日（金曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年5月1日、金曜日です。昨日公開されたセキュリティニュースについて、詳しく解説してまいります。

ヘッドライン

本日のトップニュースは、複数のセキュリティ企業が報じているcPanel・WHM認証バイパス脆弱性です。CVSS 9.8の極めて高い重大度で、実は2月下旬からゼロデイとして悪用されていたと判明しています。

その他、Linuxカーネルの重大な権限昇格脆弱性「Copy Fail」、SAP関連のnpmパッケージが侵害された大規模なサプライチェーン攻撃、Google Gemini CLIの最高重大度のリモートコード実行脆弱性が報じられています。

このほか、医療機関のランサムウェア攻撃、国際的な詐欺センター摘発、AI開発ツールの脆弱性など、重要な事件が多数あります。

詳細解説

cPanel・WHM認証バイパス脆弱性（CVE-2026-41940）

複数のセキュリティ企業により報じられているように、cPanel・WebHost Manager、いわゆるWHMに認証バイパスの脆弱性が発見されました。CVSS 9.8の極めて高い重大度です。

この脆弱性の危険性は、認証されていないリモート攻撃者がログインメカニズムを完全にバイパスして、サーバーのルートアクセスを取得できるという点です。

技術的には、CRLF インジェクション欠陥が原因です。攻撃者は失敗したログイン試行後のセッションを操作することで、認証プロセスをスキップできるのです。

特に深刻なのは、このドキュメントが実は2月下旬からゼロデイとして野外で悪用されていたということです。つまり、セキュリティコミュニティに周知される前から、実際の攻撃が行われていたのです。

Shodan検索では、インターネットに露出しているcPanel・WHMインスタンスが約150万存在することが明らかになっています。これらのシステムは、かなりの期間、この脆弱性にさらされていたということです。

セキュリティベンダーのwatchTowr Labsが詳細を公開した後、パッチが利用可能になりました。ホスティングプロバイダーの一部は、パッチ適用まで管理ポート（2083、2087、2095、2096）をブロックする緊急対応を実施しました。

このタイプの脆弱性は非常に危険です。攻撃者がルートアクセスを獲得できれば、ウェブサイトのすべてのデータ、メールシステム、その他ホスティングされているすべてのサービスを制御できるためです。

Linuxカーネル「Copy Fail」（CVE-2026-31431）

次に、Linuxカーネルの重大な権限昇格脆弱性「Copy Fail」についてです。CVE-2026-31431として追跡されています。

この脆弱性は、2017年以降のすべての主要なLinuxディストリビューションに影響します。Ubuntu 24.04 LTSやAmazon Linux 2023など、広く使用されているディストリビューションが含まれています。

最も懸念される点は、権限のないローカルユーザーがわずか732バイトのPythonスクリプトでルートアクセスを取得できるという点です。これは簡単に悪用できるエクスプロイトが存在することを意味します。

技術的には、レース条件ではなく、カーネル4.14で導入された確定的なロジック欠陥が原因です。つまり、タイミングに頼った攻撃ではなく、ほぼ確実に成功する脆弱性だということです。

セキュリティ研究者のTaeyang Leeによって発見されました。Theori研究チームが詳細を公開し、Xint Code Research Teamが AI支援分析を使用して完全なエクスプロイトチェーンを構築しています。

このエクスプロイトは、カーネルバージョンのオフセットに対応する必要がないという特徴があり、複数のディストリビューション間での再コンパイルが不要です。これは、攻撃者にとって非常に都合の良い特性です。

SAP npmパッケージサプライチェーン攻撃

「Mini Shai-Hulud」と呼ばれるキャンペーンにより、SAP関連の複数のnpmパッケージが侵害されました。

具体的には以下のパッケージです：
- mbt バージョン1.2.48
- @cap-js/db-service バージョン2.10.1
- @cap-js/postgres バージョン2.2.2
- @cap-js/sqlite バージョン2.2.2

これらのパッケージは、合計で週間ダウンロード数が50万以上と、非常に広く使用されています。SAPエコシステムの開発者、特にクラウドアプリケーション開発に携わる開発者に影響を与えています。

マルウェアは、非常に限定的な時間窓で活動しました。インストール時に2～4時間だけ利用可能な状態で、その間にインフォメーションスティーラーが実行されました。

盗まれた情報には以下が含まれます：
- ローカルマシンの認証情報
- GitHub トークン
- npm 認証情報
- AWS、Azure、Google Cloudの認証情報
- Kubernetesトークン
- CI/CDパイプラインシークレット

盗まれたデータは、GraphQL API経由で、攻撃者が制御するサーバーに暗号化された状態で流出しました。

このキャンペーンは TeamPCP ハッキンググループによるものと推定されています。

サプライチェーン攻撃としては極めて高度です。開発者の環境とCI/CDパイプライン両方が侵害されるため、その影響は広範囲に及ぶ可能性があります。

Google Gemini CLI リモートコード実行脆弱性

Google Gemini CLIに、CVSS 10.0の最高重大度のリモートコード実行脆弱性が発見されました。脆弱性識別子はGHSA-wpqr-6v78-jr5gです。

この脆弱性により、権限のない外部攻撃者がホストシステムで任意のコマンドを実行できます。

特に問題なのは、CI/CD環境での悪用です。CI/CDパイプライン内では、ワークスペースが自動的に信頼されます。さらに「Yolo」モードでは、ツールホワイトリストが強制されません。

攻撃者は、設定ファイルにコマンド実行命令を埋め込むだけで、ホストシステムでコマンドが実行されます。プロンプト注入すら不要です。

完全に決定的なエクスプロイトが存在し、サプライチェーン攻撃としても機能する可能性があります。開発者がこのツールを使用している場合、ビルドパイプラインが侵害される危険があるということです。

その他の重要な脆弱性

ProFTPD SQLインジェクション脆弱性（CVE-2026-42167、CVSS 8.1）
ProFTPDのmod_sql拡張機能にSQLインジェクション脆弱性が存在します。シングルクォートロジックの欠陥を悪用して、認証前にリモートでトリガーが可能です。特定の設定ではリモートコード実行につながります。

OpenEMR脆弱性（CVE-2026-24908、CVSS 10.0）
世界中の100,000以上のヘルスケアプロバイダーに使用されるOpenEMRコードベースで、38個の未公開脆弱性が発見されました。Aisleの AI駆動型分析によるものです。3か月で30以上の欠陥が特定されており、最大重大度のものが含まれています。

Jenkins脆弱性
Jenkinsプロジェクトが7つの脆弱性を修正しました。Credentials Binding Plugin（CVE-2026-42520）のパストラバーサル脆弱性により、認証情報を提供できる攻撃者がファイルシステム上の任意の場所にファイルを書き込み可能です。GitHub PluginとHTML Publisher Pluginの保存型XSS脆弱性も含まれています。

SonicWall SonicOS脆弱性
SonicWallがCVE-2026-0204（CVSS 8.0、不適切なアクセス制御）、CVE-2026-0205（CVSS 6.8、パストトラバーサル）、CVE-2026-0206（CVSS 4.9、スタックバッファオーバーフロー）の3つの脆弱性を開示しました。Gen6、Gen7、Gen8ファイアウォール製品全体が影響を受けます。

GitHub脆弱性（CVE-2026-3854）
GitHubインフラストラクチャに脆弱性が発見されました。git pushコマンドオプションのサニタイズ不足を悪用して、認証ユーザーがバックエンドサーバーで任意のコマンドを実行できます。Wiz研究者により報告され、わずか2時間以内に修復されました。

Cursor AI開発ツール脆弱性（CVSS 8.2）
AI搭載の開発ツール「Cursor」に脆弱性が発見されました。インストールされた拡張機能が、ユーザーの操作なしにAPIキーとセッショントークンにアクセスできるようになります。ローカルのSQLiteデータベースが標準的な保護メカニズムなしで保存されているため、検出困難な形で情報を抽出できるのです。

ASUSTOR ADM脆弱性（CVE-2026-6644、CVSS 9.4）
OSコマンドインジェクション脆弱性が発見されました。管理者認証が必要ですが、デフォルト認証情報で出荷されるため悪用リスクが高い。Censysで約19,000のインターネット接続ASUSTORホストが特定されています。

ランサムウェア・フィッシング攻撃

Sandhills Medical Foundation ランサムウェア攻撃
南カロライナ州のSandhills Medical Foundationは2025年5月にランサムウェア攻撃により169,017人の個人の名前、生年月日、個人健康情報が流出しました。INC Ransomランサムウェアグループが身代金が支払われなかったため、2026年6月15日にすべてのデータをダークウェブにリークしました。

DHL偽装フィッシング
DHL運送状確認を装うフィッシングキャンペーンが報告されています。段階的な検証ステップで被害者を欺いてログイン認証情報を盗み、IPアドレス、デバイス詳細、位置情報をキャプチャしています。警告や権限プロンプトなしで検出が困難です。

セキュリティインシデント・国際的な検挙

Robloxアカウント盗難
ウクライナ警察がRobloxアカウント盗難グループ3人を拘留しました。610,000以上のアカウントにアクセスし、より高い価格で再販していました。盗まれたログイン情報とマルウェア（ゲーム関連プログラムに偽装）でアクセスを獲得し、約227,000ドルを稼ぎ出したと推定されています。357個の高価値「エリート」アカウントが含まれていました。

欧州警察による詐欺センター摘発
欧州警察がアルバニアの詐欺コールセンター3箇所で10人を逮捕し、被害者に最少5000万ユーロの損失をもたらした投資詐欺事業を摘発しました。約450人の従業員を雇用する高度に組織された詐欺グループで、言語別チームが特定市場をターゲット化していました。検査で€891,735の現金、コンピュータ443台などが押収されています。

米国と中国の協力による詐欺摘発
米国と中国の法執行機関がドバイで少なくとも9つの詐欺センターを襲撃し、276人を逮捕しました。米国人被害者から暗号資産投資詐欺で数百万ドルを詐取した「豚殺し詐欺」スキームが摘発されています。4人の主要メンバーに連邦詐欺罪とマネーロンダリング罪が提訴されました。

AIとセキュリティの進化

AIドリブンボット攻撃の急増
自動化されたボット活動が世界のインターネットトラフィックの53%以上を占めており、悪質なボットがほぼ40%に達しています。AI駆動型ボット攻撃は2025年に12倍以上急増しました。APIを標的とした攻撃が約27%を占め、金融サービス部門ではアカウント乗っ取り事件の46%が悪質なボット活動が関連しています。

クロージング

本日は、複数の重大な脆弱性の発見、サプライチェーン攻撃、ランサムウェア攻撃、そして国際的な詐欺事件の摘発など、多岐にわたるセキュリティニュースをお届けしました。

特に注目すべきは、cPanel・WHMやLinuxカーネル「Copy Fail」のように、既に実際に悪用されている脆弱性が多数存在することです。また、SAP npmパッケージやGoogle Gemini CLIのような、開発者やCI/CDパイプラインを標的にした攻撃も急速に増加しています。

これらのニュースを参考に、ご自身の環境のセキュリティ対策を今一度ご確認いただきたいと思います。特にシステム管理者の皆様は、紹介した脆弱性の修正状況をご確認ください。気になるニュースがあれば、ぜひ詳細をご確認ください。

東京セキュリティブリーフィングでした。また次回お会いしましょう。