Apache ActiveMQ、危険度の高い脆弱性など4件を修正-CVE-2026-42588-CVE-2026-45505|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月04日更新日時: 2026年06月04日

2026年6月、Apache ActiveMQに4件の新たな脆弱性が公開され、修正済みバージョン5.19.7および6.2.6のリリースが強く推奨されています。最大のリスクはCVE-2026-42588です。デフォルトのJolokia設定がすべてのActiveMQ MBeanに対してexec操作を許可しているため、認証済み攻撃者がSpringのResourceXmlApplicationContextを悪用してブローカーのJVM上で任意コードを実行できます。

さらにCVE-2026-45505は過去の修正バイパスで、非括弧形式のdiscoveryラッパーを利用して以前の検証を回避します。ActiveMQは2023年にCVE-2023-46604（OpenWireプロトコルのRCE）がランサムウェアグループに大規模悪用された前歴があり、今回の脆弱性も放置すれば同様の被害に直結しかねません。

現時点でIBMのドイツ連邦情報セキュリティ庁（BSI）が今回のCVE群について注意喚起を発令しています。本記事では4件のCVE詳細・攻撃シナリオ・修正手順・即時適用できない場合の緩和策を解説します。

サマリー

Apache ActiveMQ Classicに4件の新規脆弱性。修正済みバージョンは5.19.7（5系）および6.2.6（6系）
CVE-2026-42588：Jolokia Webコンソール経由でSpring XMLアプリケーションコンテキストを注入し、ブローカーJVM上で任意コードを実行。認証済み攻撃者が対象
CVE-2026-45505：CVE-2026-34197の修正を非括弧形式のdiscoveryラッパーで回避するバイパス。任意コード実行に直結
CVE-2026-42253：MessageServletがJMSメッセージの属性をサニタイズせずHTTPレスポンスヘッダーに転記。セキュリティヘッダーの上書きとXSS攻撃が可能
CVE-2026-49157：低権限アカウントが管理者相当の操作（キューの作成・削除など）を実行できるデフォルト設定の不備
なおApache公式セキュリティアドバイザリページ（activemq.apache.org/components/classic/security）には今回の4CVEは記事執筆時点で未掲載。直前のバッチ（5.19.6/6.2.5修正のCVE-2026-41044・CVE-2026-41043・CVE-2026-40466等）は掲載済みで、5.19.7/6.2.6にはこれらすべての修正が含まれている
CVE-2023-46604（OpenWire RCE）の実績からActiveMQはランサムウェアグループの標的として認識されており、未パッチ環境は高リスク

1 ActiveMQとJolokia——繰り返す攻撃の温床となってきた構成
2 CVE-2026-42588：JolokiaとSpring XMLインジェクションによるRCE
3 CVE-2026-45505：修正バイパス——括弧なしdiscoveryラッパーの悪用
4 CVE-2026-42253：MessageServletのヘッダーインジェクションとXSS
5 CVE-2026-49157：低権限ユーザーへの管理権限の誤付与
6 修正バージョンへの更新手順
7 即時更新が困難な場合の緩和策
8 ActiveMQの脆弱性悪用の歴史的背景—CVE-2023-46604からの繰り返し
9 情報システム担当者が取るべき対応
10 FAQ
11 参考情報

ActiveMQとJolokia——繰り返す攻撃の温床となってきた構成

Apache ActiveMQは多くのエンタープライズシステムでJavaベースのメッセージブローカーとして採用されており、Apache Kafkaと並ぶメッセージングミドルウェアの代表製品です。金融・製造・物流・通信など多様な業種でシステム間連携の基盤として利用されています。

ActiveMQがセキュリティ上の注目を集め続ける理由の一つが、管理インターフェースとして採用されているJolokiaの存在です。JolokiaはJMX（Java Management Extensions）をHTTP/JSONで公開するブリッジであり、ブローカーの状態管理や設定変更をWebコンソール経由で実行できる利便性を提供します。しかしApache公式セキュリティアドバイザリが繰り返し示してきたように、このJolokia経由の攻撃は継続的に発見されており、CVE-2026-34197・CVE-2026-41044・そして今回のCVE-2026-42588と、同一の攻撃面が何度も悪用されています。

CVE-2026-42588：JolokiaとSpring XMLインジェクションによるRCE

securityonline.infoの分析によれば、CVE-2026-42588の根本原因はActiveMQのデフォルト設定にあります。**「デフォルトのJolokiaアクセスポリシーがすべてのActiveMQ MBeanに対してexec操作を許可している」**ため、認証済みの攻撃者はJolokia経由でDiscoveryアドレスを細工してVMトランスポートエンジンを起動させることができます。

攻撃の連鎖は次のとおりです。攻撃者は管理WebコンソールからJolokia APIを使って、xbeanバインディングを含む悪意あるブローカー名をDiscoveryアドレスとして設定します。その後、DestinationView MBeanにメッセージを送ることでVMトランスポートの生成をトリガーし、悪意あるSpring XMLアプリケーションコンテキストをロードさせます。SpringのResourceXmlApplicationContextはブローカーサービスが設定を検証する前にすべてのシングルトンBeanを初期化する仕様のため、Runtime.exec()などのBeanファクトリーメソッドを通じた任意コードの実行がJVM上で発生します。

この攻撃パターンはCVE-2026-41044（5.19.6/6.2.5で修正済み）と非常に類似しており、修正が不完全であったか異なる経路が発見されたものです。攻撃には認証が必要ですが、管理コンソールへのアクセスを持つユーザーであれば実行可能です。

CVE-2026-45505：修正バイパス——括弧なしdiscoveryラッパーの悪用

CVE-2026-45505は、過去のセキュリティ修正（CVE-2026-34197）を回避するバイパス脆弱性です。攻撃者は非括弧形式（non-parenthesized）のdiscoveryラッパーを使用することでシステムの検証チェックを通過させ、悪意あるリモート設定ファイルをロードさせます。

この構造はApache公式が文書化したCVE-2026-40466（HTTP discovery second-stage URIを使ったCVE-2026-34197バイパス、5.19.6/6.2.5修正）と同様のバイパスパターンです。CVE-2026-40466がHTTP discoveryを経路にしていたのに対し、今回のCVE-2026-45505は括弧の解析ロジックの不備を悪用する形式で、修正のたびに新たな回避経路が発見されるというイタチごっことも言えるパターンが続いています。最終的にはVMトランスポートのbrokerConfigパラメータを通じた任意コード実行に至ります。

CVE-2026-42253：MessageServletのヘッダーインジェクションとXSS

CVE-2026-42253はActiveMQのWebコンソールにあるMessageServletの不備に起因します。このサーブレットは受信したJMSメッセージの属性をHTTPレスポンスヘッダーにサニタイズなしで転記するため、攻撃者はJMSメッセージのプロパティとしてセキュリティヘッダーを設定することで、レスポンスヘッダーの上書きや注入が可能になります。

BitNinjaの分析によれば、この脆弱性を悪用することでX-Frame-Options・Content-Security-Policy（CSP）・Strict-Transport-Security（HSTS）などのセキュリティヘッダーを無効化または変更でき、クロスサイトスクリプティング（XSS）攻撃の足がかりとなります。企業のWebコンソールを利用する社内ユーザーが標的になり得ます。

Apache公式のCVE-2026-41043（キュー閲覧時のXSS）が5.19.6/6.2.5で修正されましたが、CVE-2026-42253はMessageServlet経由という別の経路であり、5.19.7/6.2.6での追加修正が必要です。

CVE-2026-49157：低権限ユーザーへの管理権限の誤付与

CVE-2026-49157はデフォルトの認証設定の不備です。低権限のアカウントが管理者に本来予約されるべき操作（メッセージキューの削除・追加など）を実行できてしまいます。これにより攻撃者は通常ユーザーのアカウントを侵害するだけで、正規の業務フローに使われているキューを破壊したり、偽のキューを作成してメッセージを傍受したりすることができます。

修正バージョンへの更新手順

Apache ActiveMQ公式ダウンロードページによれば、すべての脆弱性に対処した修正済みバージョンは以下のとおりです。5系を使用している場合は5.19.7、6系を使用している場合は6.2.6にアップグレードしてください。

現在のバージョン確認はActiveMQの管理Webコンソール（デフォルト：http://localhost:8161/admin）または以下のコマンドで行えます。

activemq version

または

activemq-admin version

なおApache公式セキュリティアドバイザリページが掲載している前バッチ（CVE-2026-41044・CVE-2026-41043・CVE-2026-40466等）の修正版は5.19.6/6.2.5でしたが、5.19.7/6.2.6にはこれらの修正がすべて含まれています。5.19.6/6.2.5でとどまっている環境も、今回の4件のCVEに対処するため5.19.7/6.2.6への追加更新が必要です。

即時更新が困難な場合の緩和策

パッチ適用までの間に取れる緩和策として、まずJolokiaのエンドポイントへのアクセスを信頼済みのIPアドレスのみに制限することが有効です。ActiveMQの設定ファイル（activemq.xml）でJolokiaのアクセスポリシーを明示的に設定し、exec操作を許可するMBeanのスコープを最小化してください。

管理WebコンソールとJolokiaエンドポイント（デフォルト：ポート8161）を外部ネットワークから遮断し、管理操作専用の内部セグメントからのみアクセスできるようにすることも重要です。

MessageServlet（CVE-2026-42253）については、5.19.7/6.2.6では非推奨化・デフォルト無効化が行われています。旧バージョン環境ではactivemq.xmlまたはweb.xmlからMessageServletのマッピングを削除または無効化することが可能です。

ActiveMQの脆弱性悪用の歴史的背景—CVE-2023-46604からの繰り返し

今回の4件は単発の問題ではありません。ActiveMQは2023年10月に公開されたCVE-2023-46604（OpenWireプロトコルのRCE）がHelloKitty・TellYouThePass・Play・WEFの各ランサムウェアグループに即座に悪用され、国際的な大規模インシデントを引き起こした実績があります。同脆弱性はNSA・CISA・FBIが共同で注意喚起を発令するほどの影響範囲でした。

その後も2024年（CVE-2024-32114）・2025年（CVE-2025-66168等）・2026年と毎年複数のCVEが公開されており、ActiveMQを運用している組織は継続的なパッチ管理が不可欠です。特にJolokia経由の攻撃は「認証さえ突破すれば任意コード実行が可能」という高影響の攻撃面であり、今回のCVE-2026-42588・CVE-2026-45505はその最新事例です。

情報システム担当者が取るべき対応

ActiveMQをインターネット向けに公開しているか、または非信頼ネットワークからアクセス可能な環境で運用している場合は最優先でパッチ適用が必要です。特にJolokia（ポート8161のWebコンソール）がFirewallの外に露出している環境は即時の対処が求められます。

企業向けメッセージングインフラにActiveMQを使用している場合、CVE-2026-49157の権限設定不備による内部的な悪用（特権昇格・キューの改ざん）にも注意が必要です。ActiveMQの認証・認可設定を見直し、ユーザーごとの操作権限が最小権限原則に基づいて設定されているかを確認してください。

FAQ

Q. Jolokiaエンドポイントへのアクセスを制限すれば、パッチなしでも安全ですか？ A. アクセス制限は有効な緩和策ですが、完全な保護にはなりません。ネットワーク制御の設定ミスや内部ネットワークからの攻撃経路が残ります。また、CVE-2026-42253（MessageServlet）やCVE-2026-49157（権限設定）はJolokia制限だけでは対処できません。パッチ適用が唯一の根本的な解決策です。

Q. ActiveMQ Artemis（後継製品）にも影響がありますか？ A. 今回のCVEはすべてActiveMQ Classic（5系・6系）が対象です。Apache ActiveMQ Artemis（ActiveMQの後継製品）は別のコードベースであり、今回の4件のCVEは報告されていません。ただしArtemisにも固有の脆弱性が存在するため、ArtemisユーザーはArtemisのセキュリティアドバイザリを別途確認してください。

Q. 過去のCVE-2023-46604対応でパッチを当てていれば今回は大丈夫ですか？ A. CVE-2023-46604は5.15.16・5.16.7・5.17.6・5.18.3で修正されましたが、今回の4件は2026年の新たな脆弱性であり、CVE-2023-46604の修正とは独立しています。5.19.7（5系）または6.2.6（6系）への更新が必要です。

Q. 管理コンソールを外部に公開していなければ問題ありませんか？ A. CVE-2026-42588・CVE-2026-45505は認証済みユーザーを要件とするため、外部からの未認証アクセスが不可能であれば外部攻撃リスクは低減します。ただし内部からの悪意ある操作や、フィッシング等で管理者アカウントが侵害された場合のリスクは残ります。CVE-2026-49157（権限設定）は内部の低権限ユーザーによる悪用リスクであり、コンソールの公開有無にかかわらず影響します。