2026-05-20

Drupal緊急パッチとOAuth MFAバイパス攻撃、インフラ根基を揺るがす5大脅威

2026年5月20日、Drupalの緊急コア更新、LinuxカーネルDirtyDecryptのPoC公開、OAuth同意フローを悪用したMFAバイパス攻撃、Microsoft署名サービス悪用のサプライチェーン攻撃、AIインフラChromaDBの最大深刻度脆弱性など、インフラ根基に関わる重大なセキュリティインシデントが集中発生。

DrupalOAuthLinuxカーネルサプライチェーン攻撃AIセキュリティ

今日のハイライト

Web基盤（Drupal）からOSカーネル（Linux）、認証基盤（OAuth）、クラウドサプライチェーン、AIインフラ（ChromaDB）まで、デジタルインフラの根基を揺るがす重大脆弱性が一挙に表面化しました。特にDrupalの緊急更新予告とOAuthを悪用したMFAバイパス攻撃の実用化は、従来の「パッチ適用」と「多要素認証」という2大防御策を同時に脅かす緊急性の高い事態となっています。

1. Drupal緊急コアセキュリティアップデート

概要

Drupalセキュリティチームが、5月20日に全サポート対象ブランチ向けの「コアセキュリティリリース」を公開予定と発表。脆弱性の詳細は開示されていませんが、数時間から数日以内にエクスプロイトコードが開発される可能性が極めて高いと警告されており、世界中の数百万サイトに影響が及ぶ可能性があります。

考察

即座の対応体制構築が必須: エクスプロイト猶予が「数時間〜数日」と異例に短い警告は、脆弱性の深刻度と攻撃者による積極的な悪用準備が進行していることを示唆しています。Drupalを使用する組織は、本日以内にテスト環境での検証準備、本番環境のメンテナンス窓確保、およびバックアップの取得を完了させる必要があります。
広範な攻撃面: Drupalは政府機関、大企業、教育機関を含む数百万のWebサイトで使用されており、コアの脆弱性は単一サイトの侵害に留まらず、大規模な watering hole 攻撃や、信頼できるサイトを経由したマルウェア配布の踏み台化リスクを孕みます。
歴史的教訓: 過去のDrupalgeddon（Drupalgeddon2等）の事例から、コア脆弱性のパッチ適用遅延は数日以内に大規模な侵害に繋がることが実証されています。今回の「事前予告」は珍しく、管理者に対する最後通告と捉えるべきです。

参照元

Drupal to Release Urgent Core Security Updates on May 20, Sites Told to Prepare

2. DirtyDecrypt PoC公開（Linux Kernel CVE-2026-31635）

概要

Linuxカーネルのローカル特権昇格（LPE）脆弱性「DirtyDecrypt（別名：DirtyCBC）」のPoC（概念実証）エクスプロイトコードが公開されました。CVE-2026-31635として追跡されており、攻撃者は認証済みユーザ権限からroot権限への昇格が可能となります。

考察

クラウドインフラの根基的脅威: Linuxカーネルの脆弱性は、AWS、Azure、GCP等のクラウド環境で動作するほぼ全てのサーバーに影響を及ぼします。特にコンテナ環境では、ホストカーネルを共有する特性上、コンテナ脱出（container escape）の手段として悪用されるリスクが高まります。
PoC公開後の攻撃増加: PoC公開により、攻撃の再現性が格段に向上します。スクリプトキディから国家級APTまで、広範な攻撃者が即座に悪用を開始する見込みであり、パッチ適用の猶予は24-48時間以内に収まると予想されます。
組み込みシステムの長期リスク: エンタープライズサーバーとは異なり、組み込み機器やIoT機器のカーネル更新は困難なため、本脆弱性は長期的な脅威として残存し、サイドチャネル攻撃や権限昇格の起点として数年間悪用される可能性があります。

参照元

DirtyDecrypt PoC Released for Linux Kernel CVE-2026-31635 LPE Vulnerability

3. OAuth同意フローを悪用したMFAバイパス攻撃

概要

Phishing-as-a-Service（PhaaS）プラットフォーム「EvilTokens」が、OAuth同意フローを悪用して多要素認証（MFA）を完全にバイパスする攻撃手法を実用化。開始5週間で5カ国の340以上のMicrosoft 365組織が侵害され、従来のフィッシング対策を根本から覆す新たな脅威として台頭しています。

考察

MFA無力化のメカニズム: 従来のフィッシングは認証情報の窃取を目指しましたが、本攻撃は正当なOAuth同意画面を介して悪意あるアプリへの権限付与を誘導します。これにより、ユーザーがMFAを完了しても、攻撃者はリフレッシュトークンを取得し永続的なアクセスを維持します。
条件付きアクセスポリシーの見直し: 単純なMFAだけでは防御不可となり、Microsoft 365環境では「信頼されていないアプリへの同意ブロック」「アクセスレビューの強制」「リフレッシュトークンの有効期限短縮」等の条件付きアクセスポリシーの緊急見直しが必要です。
ユーザー教育の限界: OAuth同意画面は標準的なMicrosoftのUIであり、ユーザーは技術的に「正当な」プロンプトと区別が困難です。技術的制御（ポリシー）に依存せざるを得ない状況であり、セキュリティ意識向上だけでは防ぎきれません。

参照元

The New Phishing Click: How OAuth Consent Bypasses MFA

4. Microsoftプラットフォーム悪用のサイバー犯罪サービス摘発

概要

Microsoftが、「Artifact Signing」サービスを悪用して不正コード署名証明書を発行していたマルウェア署名サービス（MSaaS）「Fox Tempest」を摘発。1,000以上の証明書を作成し、Rhysida、Akira、INC、Qilin、BlackByte等の主要ランサムウェアギャングに悪意あるコード署名サービスを提供していました。

考察

サプライチェーン攻撃の新たな形態: 本事件は、Microsoftの正当なインフラを悪用した「Malware-Signing-as-a-Service」という新たなビジネスモデルを示しています。攻撃者はWindows Defender SmartScreen等のセキュリティ機能を迂回し、OSレベルで「信頼される」マルウェアを配布できました。
信頼モデルの崩壊と再構築: コード署名はソフトウェアサプライチェーンの最終防衛線とされていましたが、本事件は「誰が署名しているか」だけでなく「どのプロセスで署名されたか」の検証も重要であることを示唆しています。Microsoftは1,000以上の証明書を失効しましたが、既に配布された署名付きマルウェアの影響は残存します。
クラウドサービスの悪用リスク: 攻撃者は数百のAzureテナントとサブスクリプションを作成し、Microsoftの正当な開発者サービスを悪用しました。これは、クラウドプロバイダー側のKYC（本人確認）プロセスの強化と、異常な証明書発行パターンの検知の重要性を示しています。

参照元

Cybercrime service disrupted for abusing Microsoft platform to sign malware

5. ChromaDBの最大深刻度脆弱性（CVE-2026-45829）

概要

AIアプリケーションで広く使用されるベクトルデータベース「ChromaDB」のPython FastAPIバージョンに、CVSS 10.0（最大深刻度）の認証バイパス型リモートコード実行（RCE）脆弱性が発見されました。CVE-2026-45829として追跡され、認証なしでサーバーの完全な乗っ取りが可能です。

考察

AIインフラの新たな攻撃対象領域: ChromaDBはRAG（Retrieval-Augmented Generation）アーキテクチャを実装するAIアプリケーションのバックエンドとして急速に普及しており、本脆弱性は生成AIシステムの「記憶」に相当する部分を攻撃するものです。AIエージェントの権限を悪用したデータ漏洩や、モデル poisoning のリスクがあります。
認証チェックのロジック欠陥: 脆弱性の根底にあるのは、認証チェックが「モデル読み込み・実行」よりも後に行われるという設計ミスです。これは「セキュリティ by デザイン」の原則に反し、API設計段階でのセキュリティレビュー不足を示唆しています。
深刻な露出状況: Shodan調査によると、インターネットに公開されているChromaDBインスタンスの73%が脆弱バージョンを実行しています。AI開発者はしばしば利便性を優先して認証なしでChromaDBを公開してしまう傾向があり、本脆弱性はそのリスクを顕在化させました。即座のネットワーク分離またはRustフロントエンドへの移行が推奨されます。

参照元

Max-severity flaw in ChromaDB for AI apps allows server hijacking

まとめ

本日発表された5件のインシデントは、Web層（Drupal）、OS層（Linux）、認証層（OAuth）、サプライチェーン（Microsoft署名）、AIインフラ（ChromaDB）という、デジタルエコシステムの全階層にわたる「根基的脆弱性」の集中爆発を示しています。

直近の優先対応事項としては、Drupalの緊急パッチ適用準備（数時間単位の猶予）、LinuxカーネルのDirtyDecrypt対策（PoC公開直後の攻撃増加）、およびMicrosoft 365環境でのOAuth同意ポリシーの緊急強化が挙げられます。

特に注目すべきは、従来の「銀の弾丸」であったMFAとコード署名の両方が、それぞれOAuthフローとクラウドサービス悪用によって無力化された点です。これは、単一のセキュリティコントロールへの依存の限界を示し、「多層防御」と「継続的なトラスト検証（Zero Trust）」の重要性を再認識させる一日となりました。今後は、AIインフラのセキュリティ成熟度が新たな分水嶺となることも確実視され、全組織での攻撃対象領域の再評価が急務です。