## 脆弱性の発見 この脆弱性は、**Claude** AIアシスタントを使用して発見されました。Claudeは、**Apache ActiveMQ Classic**内の独立して開発されたコンポーネント間の相互作用を分析することで、潜在的なexploit pathを特定しました。これは、脆弱性研究におけるAIの役割の増大を浮き彫りにしています。 ## CVE-2026-34197 の技術的詳細 **CVE-2026-34197** として追跡されているこのセキュリティ問題は、CVSSスコア8.8という高い深刻度と評価されています。これは、5.19.4 より前の **Apache ActiveMQ/Broker** のバージョン、および 6.0.0 から 6.2.3 までのすべてのバージョンに影響します。 **Apache ActiveMQ** は、Java で書かれたオープンソースのメッセージブローカーであり、メッセージキューまたはトピックを介した非同期通信を促進します。より新しい 'Artemis' ブランチが存在しますが、**CVE-2026-34197** の影響を受ける 'Classic' エディションは、エンタープライズ環境、Webバックエンド、および Java 上に構築された政府システムで依然として広く使用されています。 ## 脆弱性の発見におけるAIの役割 **Horizon3** の研究者である Naveen Sunkavally 氏は、基本的なプロンプトを使用した **Claude** を使ってこの問題を発見しました。Sunkavally 氏によると、**Claude** は **Jolokia**、**JMX**、ネットワークコネクタ、VMトランスポートを含む複数の個々のコンポーネントを調査することで、脆弱性を特定しました。 「各機能は単独では期待どおりに動作しますが、それらが組み合わさると危険でした。これはまさに Claude が得意としたところで、明確な先入観のない頭で、このパスをエンドツーエンドで効率的につなぎ合わせました。」 ## パッチの利用可能性 この脆弱性は3月22日に **Apache** のメンテナーに報告され、3月30日に **ActiveMQ Classic** のバージョン 6.2.3 および 5.19.4 でパッチがリリースされました。 ## Exploit 機構 **Horizon3** からのレポートによると、この脆弱性は **ActiveMQ の Jolokia** 管理 API が、外部設定をロードするために悪用される可能性のあるブローカー関数（`addNetworkConnector`）を公開していることに起因しています。攻撃者は、特別に細工されたリクエストを送信することで、ブローカーにリモートの Spring XML ファイルを取得させ、初期化中に任意のシステムコマンドを実行させることができます。 この問題は **Jolokia** による認証を必要としますが、バージョン 6.0.0 から 6.1.1 では、API をアクセス制御なしで公開する別のバグ、**CVE-2024-32114** のため、認証なしで実行可能になります。  ## 推奨事項 **Horizon3** の研究者たちは、過去の **ActiveMQ** の脆弱性が実際の攻撃で悪用されたことを引用し、この欠陥がもたらすリスクを強調しています。 「ActiveMQ を実行している組織は、これを最優先事項として扱うことをお勧めします。ActiveMQ は実際の攻撃者にとって繰り返し標的となっており、ActiveMQ の exploitation および post-exploitation の方法はよく知られています」と **Horizon3** は述べています。 また、**CVE-2016-3088** および **CVE-2023-46604** が CISA の KEV リストに掲載されていることも指摘しています。 **CVE-2026-34197** は積極的に exploitation されているとは報告されていませんが、**ActiveMQ** ブローカーログで exploitation の兆候が見られる可能性があります。内部トランスポートプロトコル VM と `brokerConfig=xbean:http://` クエリパラメータを使用する不審なブローカー接続を探すことを推奨しています。コマンド実行は複数の接続試行中に発生し、設定に関する警告メッセージは、成功した payload execution を示します。