Security News Daily

cPanel緊急パッチとSAP npm侵害、GitHub RCEが露呈させたサプライチェーンの脆弱性

認証バイパス脆弱性によるcPanel緊急アップデート、SAP公式npmパッケージのサプライチェーン攻撃、GitHubの数百万リポジトリに影響するRCEなど、基幹インフラを襲う複数の重大インシデントが発生

サプライチェーン攻撃認証バイパスゼロデイ脆弱性AIセキュリティCISA

今日のハイライト

本日のセキュリティニュースは、サプライチェーンの脆弱性認証メカニズムのバイパスが主要テームとなっています。SAPの公式npmパッケージ侵害、GitHubのRCE脆弱性、そしてcPanelの認証バイパスは、いずれも基幹システムや開発インフラの根幹を揺るがす事案です。特に、LiteLLMの脆弱性が公開後36時間で悪用された事例は、現代の攻撃者の**「脆弱性から悪用までの時間(Time-to-Exploit)」**の短縮化を象徴しています。

1. SAP公式npmパッケージのサプライチェーン攻撃

概要

SAPのCloud Application Programming Model(CAP)およびCloud MTA関連の公式npmパッケージ4件(@cap-js/sqlite、@cap-js/postgres、@cap-js/db-service、mbt)が、TeamPCPと推定される攻撃者によるサプライチェーン攻撃により侵害されました。悪意あるpreinstallスクリプトが注入され、開発者およびCI/CD環境の認証情報を窃取する仕組みが仕込まれています。

考察

攻撃手法の高度化が際立っています。Bun JavaScriptランタイムをダウンロードして実行する手法は、従来のNode.js環境での検知を回避する狙いがあると考えられます。特に注目すべきは、CIランナーのメモリ(/proc/<pid>/mem)を直接スキャンしてシークレットを抽出する機能です。これは、CIプラットフォームのログマスキングを完全にバイパスする高度な手法であり、従来の「環境変数の暗号化」だけでは防ぎきれない現実を示しています。

GitHubリポジトリを「デッドドロップ(情報格納場所)」として悪用し、さらに窃取した認証情報を使って自己増殖する機能も含まれており、単一の感染から組織内のリポジトリ全体に感染が拡大するリスクがあります。

実務対策としては、npmパッケージのインストール時に--ignore-scriptsオプションを使用する、またはロックファイルの厳格なレビューを行うことが有効です。CI/CD環境では、シークレットをメモリ上に保持せず、ハードウェアセキュリティモジュール(HSM)または専用のシークレット管理サービスを使用し、ジョブ終了後のメモリクリアを徹底する必要があります。

参照元

2. cPanel/WHMの重大な認証バイパス脆弱性

概要

Webホスティング業界で広く利用されるcPanelおよびWebHost Manager(WHM)に、認証を完全にバイパスできる重大な脆弱性(CVE-2026-41940、CVSS 9.8)が発見されました。WebPros Internationalは緊急アップデートをリリースし、Namecheapなどのホスティングプロバイダーは一時的にcPanel/WHMのポート(2083、2087)をブロックする措置を取りました。

考察

cPanel/WHMは、単一のサーバー上で複数のウェブサイトを管理するマルチテナント環境の「鍵」となるシステムです。この認証バイパスが悪用されると、攻撃者は単一のアカウントだけでなく、サーバー全体の管理権限(WHM経由)を取得し、全テナントのデータにアクセスできます。

技術的な詳細は未公開ですが、CVSS 9.8という評価から、ネットワーク経由で認証なしに攻撃可能(Network/None/None)と推測されます。/scripts/upcp --forceによる強制アップデートが必要な事案は、自動更新では対応できない深刻さを示唆しています。

即座の対応として、まず緊急パッチの適用を最優先とし、併せて以下を実施すべきです:

  • アクセスログでの不審なcPanel/WHMログイン確認
  • 既存アカウントへの不正な管理者追加や権限変更の有無確認
  • Webシェルやバックドアの有無を示すファイル整合性監査(FIM)

参照元

3. GitHubのRCE脆弱性とプライベートリポジトリの露呈

概要

GitHubは、git push操作におけるユーザー入力のサニタイズ不足によるRCE脆弱性(CVE-2026-3854)を修正しました。この脆弱性により、push権限を持つ攻撃者が悪意のあるgit pushコマンドを送信するだけで、GitHub.comの共有ストレージノード上で任意のコードを実行し、数百万の他者のプライベートリポジトリに読み書きアクセスを得る可能性がありました。

考察

この脆弱性は、SaaSの共有インフラストラクチャに内在するリスクを浮き彫りにしています。Wizの研究者によると、GitHub Enterprise Server(GHES)では完全なサーバーコンプロマイズ(全リポジトリと内部シークレットへのアクセス)が可能でした。特に懸念されるのは、88%の公開されているGHESインスタンスが未だに脆弱であるという現状です。

技術的には、git push時のユーザー入力が内部メタデータに不適切に組み込まれ、サンドボックス回避とRCEに繋がるインジェクションの一種です。GitHubは2時間以内に修正をデプロイしましたが、Enterprise Serverの管理者は即座のアップグレードが必須です。

対策として、GitHub Enterprise Serverを運用する組織は、最新バージョン(修正版)への即座の更新を行うとともに、2026年3月4日以前のアクセスログで、異常なgit pushパターン(特に特定のオプションを含むpush)がないか監査を実施すべきです。GitHub.comを利用する組織も、機密リポジトリのアクセスログを確認し、不審なcloneやpush履歴がないか検証を推奨します。

参照元

4. Windows NTLMゼロデイとCISAの緊急命令

概要

CISA(米国サイバーセキュリティ・インフラストラクチャ安全保障庁)は、WindowsのNTLMハッシュ漏洩脆弱性(CVE-2026-32202)について、連邦政府機関に対し5月12日までのパッチ適用を命令しました(BOD 22-01)。この脆弱性は、2月に不完全に修正された別の脆弱性(CVE-2026-21510)の名残であり、ロシアのAPT28(Fancy Bear)によるゼロデイ攻撃で悪用されています。

考察

「ゼロクリック」でNTLMハッシュを窃取できる点が極めて危険です。従来のNTLMリレー攻撃はある程度のユーザー操作を必要としましたが、今回の脆弱性は悪意あるファイルを開くだけでハッシュが漏洩する可能性があります。APT28は、ウクライナおよびEU諸国を標的に、この脆弱性をLNKファイルの脆弱性(CVE-2026-21513)と組み合わせたチェーン攻撃で使用していました。

NTLMは後継のKerberosに置き換えられつつありますが、レガシーな互換性のために無効化できない環境が依然として存在します。実務的な対策として:

  1. 即座のパッチ適用(2026年4月のPatch Tuesdayに修正済み)
  2. NTLMの無効化またはNTLMv2の強制、さらには「NTLMの制限」(LAN Manager認証レベルの設定)
  3. ネットワークセグメンテーションによる横向き移動の防止
  4. 異常なNTLM認証トラフィックの監視(SentinelやSplunkなどでEvent ID 4624、4648の監視)

CISAのKEVカタログ追加は、民間企業に対しても優先的な対応を示唆する強いシグナルです。

参照元

5. LiteLLMのSQLインジェクション:公開後36時間での悪用

概要

AIインフラストラクチャのミドルウェアとして利用されるBerriAIのLiteLLM Pythonパッケージに、SQLインジェクション脆弱性(CVE-2026-42208)が存在し、公開後わずか36時間で実際の攻撃で悪用されたことが確認されました。

考察

この事案は、AI関連ツールのセキュリティ成熟度的な課題と、現代の攻撃者の速度を示す象徴的な例です。生成AIの普及に伴い、LiteLLMのようなLLMプロキシ/ゲートウェイは、組織内のAIインフラの「玄関口」として重要な位置づけとなっています。しかし、従来のWebアプリケーションと同様に、入力検証の不備によるSQLインジェクションのリスクを抱えています。

36時間という短時間での悪用は、攻撃者が脆弱性データベース(NVD)やGitHubのセキュリティアドバイザリを自動監視し、**パッチ適用の「ウィンドウ」**を狙って攻撃を自動化している現状を示しています。AIインフラは往往にして社内の機密データ(顧客情報、ソースコード、社内文書)にアクセスするため、侵害の影響は甚大です。

対策として、LiteLLMを利用している組織は即座に最新版(1.67.0以降)へ更新し、併せて以下を実施すべきです:

  • AIゲートウェイのログで、不審なSQLクエリパターンやエラーメッセージの確認
  • AIインフラのネットワーク分離(他の重要システムからの分離)
  • サプライチェーンとしてのAIツールの定期的なセキュリティ評価(従来のソフトウェア同様の厳格な管理)

参照元

まとめ

2026年4月30日のニュースは、「信頼されたインフラ」(SAP、GitHub、cPanel、Windows、LiteLLM)の脆弱性が、いかに迅速に攻撃者に悪用されるかを示しています。特に以下の3点は今後の注視ポイントです:

  1. サプライチェーン攻撃の高度化:SAP npmパッケージのように、開発者ツールを標的とし、CI/CD環境のメモリまでスキャンする攻撃は、従来の「パッケージの整合性確認」だけでは防ぎきれません。開発環境のゼロトラスト化と、シークレットのメモリ上非保持が求められます。

  2. 認証バイパスのリスク集中:cPanelの事例のように、単一の認証メカニズムのバイパスが、マルチテナント環境全体のコントロールを奪う可能性があります。SaaS/ホスティングプロバイダー利用時の「共有責任モデル」の再認識と、独自の暗号化やアクセス制御の併用を検討すべきです。

  3. 攻撃速度の加速:LiteLLMの36時間での悪用は、パッチ管理の「猶予期間」が事実上消失したことを意味します。自動化された脆弱性管理(ASPM)と、緊急時の隔離・ロールバック体制の整備が、2026年以降のセキュリティ運用の必須要件となります。

特に、GitHub Enterprise ServerやcPanel、LiteLLMを利用している組織は、本日を境に即座のバージョンアップとログ監査を実施することを強く推奨します。

参照元