### CVE-2026-34197の活発な悪用 最近開示されたApache ActiveMQ Classicの深刻なセキュリティ脆弱性が活発に悪用されており、CISAからの警告が発せられています。 同庁は、CVE-2026-34197（CVSSスコア：8.8）として追跡されているこの脆弱性を、既知の悪用脆弱性（KEV）カタログに追加し、連邦民間執行機関（FCEB）に対し2026年4月30日までに修正を適用することを義務付けました。これは、この脆弱性の重大性を示しています。 ### 脆弱性の技術的詳細 CVE-2026-34197は、不適切な入力検証がコードインジェクションにつながるものです。Horizon3.aiのNaveen Sunkavally氏によると、この脆弱性は13年間存在していました。攻撃者はActiveMQのJolokia APIを利用して、ブローカーにリモート設定ファイルをフェッチさせ、任意のOSコマンドを実行させることができます。 Sunkavally氏は、「攻撃者はActiveMQのJolokia APIを通じて管理操作を呼び出し、ブローカーにリモート設定ファイルをフェッチさせて任意のOSコマンドを実行させることができます。」と述べています。 この脆弱性は認証情報が必要ですが、デフォルトの認証情報（admin:admin）がしばしば使用されます。特に、バージョン6.0.0–6.1.1ではCVE-2024-32114により認証が不要になるため、CVE-2026-34197は実質的に認証不要のRCEとなります。 ### 影響を受けるバージョンと緩和策 この脆弱性の影響を受けるバージョンは以下の通りです。 * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 5.19.4 より前のバージョン * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 から 6.2.3 より前のバージョン * Apache ActiveMQ (org.apache.activemq:activemq-all) 5.19.4 より前のバージョン * Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 から 6.2.3 より前のバージョン ユーザーは、この問題を解決するために、バージョン5.19.4または6.2.3にアップグレードすることを強く推奨します。 ### 実際の悪用 CVE-2026-34197の悪用に関する具体的な詳細は限られていますが、SAFE Securityは、Apache ActiveMQ Classicデプロイメントで公開されているJolokia管理エンドポイントが活発に標的になっていると報告しました。Fortinet FortiGuard Labsも、2026年4月14日にピークを迎えた多数の悪用試行を発見しています。 これらの発見は、脆弱性の開示と実際の悪用との間の時間的制約が縮小していることを示しています。 ### ActiveMQ：頻繁な標的 Apache ActiveMQは、攻撃者にとって頻繁な標的となっています。このオープンソースメッセージブローカーの脆弱性は、2021年以降、マルウェアキャンペーンで繰り返し悪用されています。2025年8月には、CVE-2023-46604が悪用され、DripDropper Linuxマルウェアが展開されました。 ### 推奨事項 SAFE Securityは、外部からアクセス可能なJolokiaエンドポイントのデプロイメントを監査し、アクセスを制限し、強力な認証を強制し、必要のない場合はJolokiaを無効にすることを推奨しています。エンタープライズメッセージングにおけるActiveMQの役割を考慮すると、公開された管理インターフェースは、データ漏洩、サービスの中断、およびラテラルムーブメントの重大なリスクをもたらします。