Apache ActiveMQの脆弱性 CVE-2026-34197が実際にサイバー攻撃に悪用|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年04月22日更新日時: 2026年04月22日

Apache ActiveMQ Classicのリモートコード実行脆弱性 CVE-2026-34197 について、米CISAが2026年4月16日にKnown Exploited Vulnerabilities Catalogへ追加し、実際に悪用されている脆弱性として扱い始めました。Apache ActiveMQ側のセキュリティ情報では、この問題はJolokia JMX-HTTPブリッジを経由して発生するコードインジェクションで、Apache ActiveMQ Classic 5系と6系の一部が影響を受けるとされています。

1 何が起きたか
2 原因
3 悪用状況
4 対象バージョンと修正

何が起きたか

Apacheのアドバイザリによると、ActiveMQ ClassicはWebコンソール上で /api/jolokia/ のJolokia JMX-HTTPブリッジを公開しています。既定のJolokiaアクセスポリシーでは org.apache.activemq:* のActiveMQ MBeanに対する exec 操作が許可されており、BrokerService.addNetworkConnector(String) や BrokerService.addConnector(String) が呼び出せる状態でした。攻撃者はここに細工したdiscovery URIを渡すことで、brokerConfig パラメータ経由で外部のSpring XMLアプリケーションコンテキストを読み込ませ、最終的にブローカーのJVM上で任意コードを実行できます。

Apache側はこの問題を、Authenticated users could perform RCE via Jolokia MBeans と整理しています。つまり基本形では、攻撃成立に認証済みユーザー権限が必要です。

原因

原因は、Jolokia経由で許可されていたActiveMQ MBean操作と、addNetworkConnector や addConnector が受け取るURIの検証不足が組み合わさったことにあります。Apacheの説明では、Springの ResourceXmlApplicationContext が設定検証より先にsingleton beanを初期化してしまうため、攻撃者が用意したXML内のbean factory methodが実行され、Runtime.exec() のようなOSコマンド実行へつながります。

悪用状況

CISAのKEVカタログ検索結果では、CVE-2026-34197 は Apache ActiveMQ Improper Input Validation Vulnerability として 2026年4月16日付で追加されており、これはCISAが当該脆弱性の現実の悪用を把握していることを意味します。もっとも、CISAは現時点で攻撃キャンペーン名やIOC、攻撃主体などの詳細までは公表していません。

補足として、発見者のHorizon3.aiは、この脆弱性は通常は認証が必要だが、ActiveMQ 6.0.0から6.1.1では別件のCVE-2024-32114により /api/* が認証なしで露出しているケースがあり、その条件では実質的に未認証RCEになり得ると説明しています。

これはApacheの公式アドバイザリ本文にはない研究者側の分析ですが、6.0.0から6.1.1系を残している環境では見逃しにくいです。

対象バージョンと修正

Apacheのセキュリティアドバイザリでは、影響を受けるのは Apache ActiveMQ Broker と Apache ActiveMQ All の 5.19.4 未満、および 6.0.0以上6.2.3未満です。Apacheのセキュリティページでも、CVE-2026-34197 は Jolokia MBeans経由のRCEとして掲載されています。

修正についてはApacheのアドバイザリとNVDの説明欄では 5.19.4 または 6.2.3 への更新が推奨されている一方、GitHub Advisoryのメタデータ欄では 5.19.5 と 6.2.3 が修正版として記載されています。少なくとも6系は 6.2.3 へ更新する必要があり、5系はApacheプロジェクトの最新案内に沿って、固定済みの5.19.x系最新版へ引き上げるのが安全です。