Adobe ColdFusionの最高深刻度の脆弱性CVE-2026-48282、詳細公開から2時間足らずでサイバー攻撃に悪用

セキュリティニュース

投稿日時: 更新日時:

Adobe ColdFusionの最高深刻度の脆弱性CVE-2026-48282、詳細公開から2時間足らずでサイバー攻撃に悪用

Adobeは2026年6月30日、ColdFusionとCampaign Classicに存在する複数の脆弱性を修正するセキュリティ更新プログラムAPSB26-68を公開しました。11件の脆弱性のうち7件がCVSS10.0という最高深刻度で、Adobe自身もこの時点では実際の悪用は確認していないとしながら、優先度1(高い確率で攻撃対象になる)という評価を付けていました。その2日後にあたる2026年7月2日、脆弱性インテリジェンス企業のKEVIntelが、このうちパストラバーサルの脆弱性CVE-2026-48282について、技術的な詳細が公開されてから2時間足らずで実際に悪用が始まったことを確認したと報告しています。

当サイトでも以前、2025年末から2026年始めにかけてColdFusionを狙った大規模なサイバー攻撃キャンペーンを取り上げましたが、ColdFusionは繰り返し攻撃者に狙われ続けているプラットフォームであることが、今回の一件でも改めて裏付けられました。

サマリー

  • Adobeは2026年6月30日、ColdFusionとCampaign Classicの脆弱性を修正するセキュリティ更新プログラムAPSB26-68を公開した。11件の脆弱性のうちColdFusionで6件、Campaign Classicで1件の計7件がCVSS10.0の最高深刻度に分類されている
  • 最も注目されているのはCVE-2026-48282で、パストラバーサルに起因するリモートコード実行の脆弱性。認証や利用者の操作を必要とせず、攻撃の複雑さも低いとされる
  • Adobeはパッチ公開の時点で、これらの脆弱性はいずれも悪用される高いリスクがあるとしつつ、実際の悪用は確認していないと説明していた
  • 2026年7月2日、脆弱性インテリジェンス企業KEVIntelの研究者Ryan Dewhurst氏が、CVE-2026-48282の技術的な詳細が公開されてから2時間足らずで、自社のハニーポットネットワーク上で実際の悪用を観測したと公表した
  • 観測された攻撃はインドに位置情報が紐づくIPアドレスから行われ、Windowsのwin.iniファイルを読み取ろうとする、認証不要の任意ファイル読み書きを狙ったペイロードが使われていた
  • カナダのサイバーセキュリティセンター(CCCS)も、公開情報をもとにCVE-2026-48282が実際に悪用されていることを確認したとする勧告を出している
  • インターネットセキュリティの監視団体Shadowserverによれば、現在も約800台のAdobe ColdFusionのインスタンスがインターネット上に公開された状態にあるとされ、そのうちどれだけがハニーポットか、あるいはすでに対策済みかは明らかになっていない
項目 内容
パッチ公開日 2026年6月30日(セキュリティ更新プログラムAPSB26-68)
最高深刻度(CVSS10.0)の脆弱性数 ColdFusionで6件、Campaign Classicで1件の計7件
主な脆弱性 CVE-2026-48282(パストラバーサルによるリモートコード実行)
対象バージョン ColdFusion 2025 Update 9以前、2023 Update 20以前
修正バージョン ColdFusion 2025 Update 10、2023 Update 21
実攻撃の確認 2026年7月2日、KEVIntelが詳細公開から2時間足らずでの悪用をハニーポットで観測
観測された攻撃元 インドに位置情報が紐づくIPアドレス(103.207.14[.]220)
インターネット公開台数 約800台(Shadowserver調べ、パッチ適用状況・ハニーポット比率は不明)

何が起きたか

Adobeは2026年6月30日、ColdFusionの2025系および2023系と、マーケティング自動化プラットフォームであるCampaign Classicに存在する複数の脆弱性を修正するセキュリティ更新プログラムAPSB26-68を公開しました。今回のアップデートで修正された脆弱性は合計11件にのぼり、そのうち7件がCVSSスコア10.0という最高深刻度に分類されています。Adobeはこれらの脆弱性について、任意のコード実行、権限昇格、任意のファイルシステム読み取り、セキュリティ機能のバイパスにつながる可能性があると説明しており、いずれも攻撃の複雑さが低く利用者の操作を必要としない、優先度1の脆弱性として位置づけています。Adobe自身は、この更新プログラムの公開時点ではこれらの脆弱性が実際に悪用された形跡は確認していないとしつつも、管理者に対しては可能な限り速やかに、目安として72時間以内にアップデートを適用するよう強く呼びかけていました。

この呼びかけが単なる予防的な注意喚起にとどまらなかったことが、2日後の2026年7月2日に判明します。脆弱性インテリジェンス企業KEVIntelの研究者であるRyan Dewhurst氏は、今回の一連の脆弱性のうちCVE-2026-48282について、技術的な詳細が公開されてから2時間足らずのうちに、実際の悪用が自社のグローバルなハニーポットネットワーク上で観測されたと公表しました。観測された攻撃は、インドに位置情報が紐づくIPアドレスから行われており、Windowsのwin.iniファイルを読み取ろうとする、認証を必要としない任意ファイルの読み書きを狙ったペイロードが使われていたとされています。この事実を受け、カナダのサイバーセキュリティセンター(CCCS)も、公開情報をもとにCVE-2026-48282の実際の悪用を確認したとする勧告を発表しました。

公開から2時間で悪用されたCVE-2026-48282

CVE-2026-48282は、パストラバーサルに起因するリモートコード実行の脆弱性です。パストラバーサルとは、本来アクセスが許可されていないディレクトリやファイルへ、意図しない経路でアクセスできてしまう脆弱性の総称で、今回のケースでは、この経路を突くことで最終的に任意のコードを実行できる状態にまで発展する点が深刻です。認証を必要とせず、攻撃者側の技術的なハードルも低いとされており、こうした条件がそろった脆弱性は、詳細が公開された直後から狙われやすい傾向にあります。

インターネットセキュリティの監視団体であるShadowserverの調査によれば、現在も約800台のAdobe ColdFusionのインスタンスがインターネット上に公開された状態にあるとされています。ただし、これらのうちどれだけが実際に稼働している本番環境で、どれだけがハニーポットのような観測用の環境なのか、またすでにパッチが適用されて対策済みなのかは、この数字だけからは判断できません。いずれにしても、詳細公開からわずか2時間という短時間で実際の攻撃が確認された事実は、パッチ適用までの猶予がほとんどないことを如実に示しています。

同時に修正された他の最高深刻度脆弱性

今回のAPSB26-68では、CVE-2026-48282以外にも複数の最高深刻度の脆弱性が修正されています。CVE-2026-48276とCVE-2026-48283は、危険な種類のファイルを無制限にアップロードできてしまう脆弱性で、いずれも最終的に任意のコード実行につながる可能性があります。CVE-2026-48277・CVE-2026-48281・CVE-2026-48316は、入力値の検証が不適切であることに起因する脆弱性で、これも任意のコード実行に発展しうるとされています。あわせて、CVSS9.3のCVE-2026-48313も修正されており、こちらはパストラバーサルにより機微なファイルの読み取りが可能になる脆弱性です。Campaign Classicについては、認可処理の不備に起因するCVE-2026-48286が修正されており、こちらもCVSS10.0の最高深刻度とされていますが、影響を受けるのはオンプレミス環境のみで、Adobeがホストするインスタンスはこの問題の対象外です。本稿執筆時点で実際の悪用が確認されているのはCVE-2026-48282のみですが、他の脆弱性についても攻撃者が悪用手法を研究している可能性は十分にあります。

なお、これらの脆弱性のうち複数件は、Adobeが運営するバグ報奨金プログラムHackerOneを通じて、外部のセキュリティ研究者から報告されたものです。企業が自社製品の脆弱性を外部の目で継続的に検証してもらう仕組みが、今回のような深刻な脆弱性の早期発見にもつながっていることがうかがえます。

原因はなぜColdFusionが繰り返し狙われるのか

ColdFusionがこれほど繰り返し攻撃者に狙われる背景には、複数の要因が重なっています。1つ目は、ColdFusionが企業向けのWebアプリケーション開発基盤として長年使われ続けており、インターネットに公開された状態で運用されているレガシーなシステムが少なくないという実情です。2つ目は、米国のCISAが2021年11月以降、Adobe製品の脆弱性79件を実際に悪用された脆弱性のカタログに追加しており、そのうち10件はランサムウェア攻撃にも使われてきたという実績です。この数字は、Adobe製品全般、とりわけColdFusionが攻撃者にとって既知の有望な標的であり続けていることを物語っています。

3つ目は、当サイトで既報の通り、2025年末から2026年始めの休暇シーズンにかけて、ColdFusionを狙った大規模かつ組織的なサイバー攻撃キャンペーンが観測されていたことです。この際は監視体制が手薄になりやすい休暇期間を狙い、過去に公開された既知の脆弱性が幅広く悪用されていました。今回のように新しい脆弱性が公開されるたびに、攻撃者側の観測・悪用の体制がすでに整っている状態で待ち構えていると考えられ、パッチ公開から悪用開始までの時間が短縮され続けている一因になっていると見られます。

情報システム部門への示唆

自組織でAdobe ColdFusionを運用している場合、まずバージョンを確認し、ColdFusion 2025であればUpdate 10、ColdFusion 2023であればUpdate 21が適用されているかを確認してください。未適用の場合は、Adobeが推奨する72時間以内という目安を待たず、可能な限り速やかにパッチを適用することを強くお勧めします。すでに詳細公開から2時間足らずで実際の攻撃が確認されている以上、パッチ未適用のまま放置する時間はほぼ残されていません。

パッチ適用と並行して、侵害の痕跡がないかを確認することも重要です。具体的には、ColdFusionのログにおいて、win.iniのようなシステムファイルへの不審な読み取り要求や、通常のアプリケーション動作では発生しないパストラバーサル的なパスを含むリクエストが記録されていないかを確認してください。あわせて、ColdFusionをインターネットに公開する必要が本当にあるのかを見直し、公開が不要であればアクセス制限やVPN経由でのみアクセス可能にするといった構成変更も検討に値します。Adobeは2026年7月14日から、セキュリティ情報の公開を月1回から月2回に増やす方針を発表しており、今後も比較的高い頻度でColdFusion関連のセキュリティ更新が続くことが見込まれます。パッチ適用を単発の対応で終わらせず、継続的な監視体制として組み込んでおくことをお勧めします。

出典