未認証のリモートコード実行：王国を奪う認証の欠如 👑

サイバーセキュリティの脅威が絶えず進化する中で、即座に破壊的なリスクをもたらす脆弱性クラスはほとんどありません。その中でも未認証のリモートコード実行（RCE）は、まるで城門を無施錠のまま放置しているかのような重大な欠陥です。鍵やパスワード、資格情報は不要。攻撃者はただ正面玄関を通り、あなたの王国を掌握します。

これらの脆弱性の深刻さは計り知れません。認証メカニズムが失敗したり、完全にバイパスされたりすると、「信頼するけど確認する」という基本的なセキュリティ原則が崩壊します。結果は、システムの完全乗っ取り、データ漏洩、ネットワーク内の横移動、そしてランサムウェアの展開まで及びます—パスワードを一つも解読せずに。

Oracle Identity Managerの侵害：壊滅的失敗の事例研究

最近発見されたCVEs-2025-61757は、Oracle Identity Managerにおける未認証RCEの脆弱性の例です。これは、認証前にリモートコード実行を可能にし、Oracle Identity Managerのバージョン12.2.1.4.0と14.1.2.1.0に影響し、CVSSスコアは9.8点（最大10点）です。Oracleは2025年10月のCritical Patch Updateでこの脆弱性を修正しましたが、その前に攻撃者による積極的な悪用が始まっていました。

攻撃の仕組み

この脆弱性は、2つの異なる弱点を組み合わせたもので、完璧なシステム侵害の嵐を引き起こします。Oracle Identity ManagerのREST APIにおける認証バイパスが原因で、セキュリティフィルターを騙して保護されたエンドポイントを公開状態に見せかけることが可能です。具体的には、URLに ?WSDL や ;.wadl などのパラメータを付加するだけです。

例えるなら、特定の接尾辞を名前に付けるだけで誰でも通してしまうクラブのバウンサーのようなものです。技術的には非常に単純で、攻撃者はURLに “;.wadl” を追加することで認証フィルターを完全に回避し、通常アクセスできないはずの特権エンドポイントにアクセスできることを発見しました。

一度保護された範囲内に入ると、攻撃者はGroovyスクリプトのコンパイルエンドポイントにアクセスします。このエンドポイントは直接コードを実行するために設計されていませんが、研究者はGroovyのアノテーション処理機能を悪用して、コンパイル時に悪意のあるコードを実行させることに成功しました。結果は、資格情報を一つも入力せずにシステムを完全に乗っ取ることです。

ゼロデイの悪用証拠

最も懸念されるのは、Oracleがパッチをリリースする前にCVE-2025-61757がゼロデイとして悪用された証拠です。ハニーポットのログ分析では、2025年8月30日から9月9日までの間に、HTTP POSTリクエストを通じて脆弱なURLへのアクセス試行が複数記録されており、これは公式パッチの約2ヶ月前のことです。

CISAは2025年11月21日にCVE-2025-61757を「既知の悪用された脆弱性」リストに追加し、連邦機関に対して12月12日までに対処を指示しました。このリストへの掲載は、実際の攻撃で積極的に悪用されていることを示しており、影響を受けるシステムを運用する組織にとって緊急性を高めています。

ハニーポットのデータから観察された攻撃パターンは非常に一貫しており、複数のIPアドレスが同一のユーザーエージェントを使用し、556バイトのペイロードを伴うPOSTリクエストを送信し、末尾に “;.wadl” の付いたエンドポイントにアクセスしようとしていました。このフィンガープリントは、単一の脅威アクターによるスキャンか、複数の攻撃グループ間でのエクスプロイトコードの迅速な共有を示唆しています。

広がる感染：最近の未認証RCE脆弱性

Oracle Identity Managerだけでなく、2024年・2025年のサイバーセキュリティ界隈では、認証バイパスによるリモートコード実行の脆弱性が増加しています。

ReactとNext.js：サプライチェーンの悪夢

2025年12月、CVEs-2025-55182として追跡されるReact Server Componentsの重大な脆弱性が発見され、CVSSスコアは最大の10.0です。この脆弱性は「React2shell」と呼ばれ、React Flightプロトコルの安全でないデシリアライズを悪用して、未認証の攻撃者がリモートコード実行を可能にします。

この脆弱性はReactバージョン19.0から19.2.0、そしてNext.jsのApp Routerを使用するバージョンに影響します。調査によると、クラウド環境の約39%がこれらの脆弱性にさらされており、数十万のサーバーに影響を及ぼす巨大な攻撃面となっています。

特に危険なのは、これらの脆弱性がデフォルトのフレームワーク設定に存在している点です。標準的な展開手順を守っただけの組織は、すぐに脆弱状態に陥る可能性があります—特別な条件や例外は不要です。

この脆弱性は2024年11月14日にReact 19.0.0がリリースされた時点から潜在的に悪用可能であり、パッチが公開されるまでに1年以上脆弱なコードを運用していた可能性があります。

Fortinet FortiWeb：二重の危機

2025年11月、Fortinet FortiWebのWebアプリケーションファイアウォールに影響する認証バイパスの重大な脆弱性（CVE-2025-64446）が、2025年10月初旬から積極的に悪用されていました。皮肉なことに、Webアプリを守るためのセキュリティ装置が、逆に攻撃の入口となったのです。

攻撃手法は、ターゲットシステムの高度な理解を示しています。攻撃者は、FortiWeb APIのパス・トラバーサルの弱点と、クライアント提供のID情報を適切に検証しない認証機能を組み合わせて、特定のリクエストを作成しました。これにより、内蔵の管理者アカウントを偽装し、永続的なバックドアアクセスを確立しました。

Cisco Identity Services Engine：企業基盤の侵害

2024年・2025年にかけて、CiscoのIdentity Services Engine（ISE）に複数の未認証RCE脆弱性が浮上しました。これは、多くの企業ネットワークの認証とポリシー適用の中核を担うプラットフォームです。これらの脆弱性は、未認証の遠隔攻撃者がOS上でコマンドを実行し、root権限を取得できる可能性があります。

認証と認可のポリシーを担うシステムが脆弱になると、そのセキュリティリスクはネットワーク全体に波及します。

なぜ認証バイパスはシステム全体の乗っ取りにつながるのか

認証バイパスから完全なシステム乗っ取りに至る過程は、予測可能で破壊的なパターンをたどります：

資格情報なしの初期アクセス：攻撃者は認証を完全にバイパスし、保護されたリソースや管理インターフェースにアクセスします。

権限昇格：内部に入ると、攻撃者は高い権限を持つ状態にあります。ID管理システムは、ユーザーやアクセスを管理するために高権限で動作します。

永続性の確立：管理者アカウントの作成やWebシェルの設置、正規のシステムコンポーネントの改ざんにより、脆弱性修正後もアクセスを維持します。

横移動：侵害されたID管理システムから、資格情報の収集やアクセス権の変更を行い、ネットワーク内を自由に移動します。

データ漏洩と被害拡大：最終的には、機密データの窃取やランサムウェアの展開、運用妨害が行われます—すべて、最初の認証障壁が存在しなかったためです。

技術的根本原因：認証失敗の共通パターン

これらの脆弱性の発生メカニズムを理解すると、セキュリティチームが事前に対処できる共通パターンが見えてきます：

非安全なデシリアライズ

多くの最新のRCEは、信頼できないソースからのシリアライズされたペイロードの不適切な取り扱いに起因します。ユーザー制御のデータがオブジェクトの生成やメソッド呼び出しに影響を与える場合、攻撃者は悪意のあるオブジェクトを注入し、デシリアライズ時にコードを実行させることが可能です。

React Server Componentsの脆弱性は、このパターンを完璧に示しています。サーバーは受信したデータ構造を過信し、予期しないオブジェクトの形や参照を拒否しません。システムは、悪意のあるペイロードを正規のコードと同じように実行してしまいます—まさに設計通りに動作しているのです。

パス操作によるフィルターバイパス

Javaアプリケーションのセキュリティフィルターは、リクエストURIの解釈に関する不整合を利用した認証バイパスの脆弱性を抱えています。

Oracle Identity Managerの例では、セキュリティフィルターがURLを異なる方法で評価し、特定のサフィックスやパス・トラバーサル技術を付加することで、保護されたエンドポイントを公開状態に見せかけていました。

重要な関数の認証チェック欠如

最も基本的な失敗パターンの一つは、重要なシステム関数に認証チェックが全く存在しないケースです。Fortinet FortiWebの脆弱性では、認証機能がクライアント提供のID情報を検証せずに受け入れていました。

CISAはCVE-2025-61757を「重要な関数の認証欠如」として分類し、問題は高度なバイパス技術ではなく、認証要件そのものの欠如にあると指摘しています。

内部ヘッダーへの過信

Next.jsの認可バイパス（CVE-2025-29927）は、クライアント制御のデータに依存したセキュリティ判断の危険性を示しています。特に、内部利用を目的としたx-middleware-subrequestヘッダーの不適切な取り扱いにより、攻撃者はこれらのヘッダーを偽装してミドルウェアのセキュリティチェックを完全に回避できました。

検出と対応：攻撃の兆候を見逃さない

組織は、被害を未然に防ぐために堅牢な検知メカニズムを導入すべきです：

ネットワークレベルの検知

HTTPトラフィックのパターンを監視します： - “;.wadl” や “?WSDL” などの異常なサフィックスを持つリクエスト - 未認証のソースからの認証関連エンドポイントへのPOSTリクエスト - 既知のエクスプロイトパターンに一致するペイロードサイズ（例：Oracle Identity Managerの攻撃では556バイト） - スキャンツールやエクスプロイトフレームワークに特有のユーザーエージェント

システムレベルの指標

潜在的に影響を受けるシステムでの証拠を確認します： - 脆弱期間中に作成された予期しない管理者アカウント - 高権限の新規ローカルユーザーアカウント - 許可範囲が過剰に広い信頼ホスト範囲（0.0.0.0/0や::/0） - Webアプリケーションディレクトリからの異常なプロセス実行 - 正規のシステムファイルや設定の改ざん

ログ分析

HTTPトラフィックにおいて、疑わしいサフィックスや特定のペイロード特性を持つPOSTリクエストを検知します。攻撃者のIPアドレスやユーザーエージェントと照合してください。

継続的な監視を実施し、次のような兆候を追跡します： - 予期しないソースからの認証失敗・成功の試行 - 認証イベントと一致しないAPIコール - 不審なコンパイルやスクリプト実行活動 - Webサーバーからのアウトバウンド通信の急増

対策戦略：王国を守るために

即時対応

パッチを遅滞なく適用：CVE-2025-61757については、Oracleが2025年10月のCritical Patch Updateで修正をリリースしています。これらのパッチを最優先で展開してください。

ReactやNext.jsについては、修正版（React 19.0.1、19.1.2、19.2.1やNext.js 16.0.7、15.5.7など）にアップグレードしてください。

補完的コントロールの導入：パッチ適用までの間に、 - Webアプリケーションファイアウォール（WAF）のルールを設定し、既知のエクスプロイトパターンをブロック - ファイアウォールやアクセス制御リストを用いて、影響範囲のネットワークアクセスを制限 - Oracle Identity Managerの場合、REST APIエンドポイントへのアクセスを信頼できるIPに限定 - 一時的にインターネット向け管理インターフェースのHTTP/HTTPSアクセスを無効化

侵害されたシステムの緊急対応： - 影響を受けたシステムを直ちにネットワークから隔離 - ログやシステム状態を保存し、フォレンジック調査に備える - 管理者アカウントの不正作成や変更を監査 - すべての特権アカウントの認証情報をリセット - Webシェルやバックドア、永続化メカニズムをスキャン

長期的なセキュリティ向上

Zero Trustアーキテクチャ：認証バイパスの脆弱性が示す通り、ゼロトラストの原則は不可欠です。ネットワーク内にいるからといって信頼せず、すべてのアクセスを常に検証します。

導入例： - すべてのリクエストに対して継続的なIDと権限の検証 - 横移動を制限するマイクロセグメンテーション - 最小権限のアクセスポリシー - 管理機能には多要素認証を適用

安全な開発実践：自社アプリケーションを開発する組織は、次の点を重視してください： - 認証バイパスシナリオを含むセキュリティテスト - 認証・認可ロジックのコードレビュー - 外部データの入力検証とサニタイズ - 厳格な型チェックを伴う安全なデシリアライズ - 失敗時もアクセス拒否を優先するフェイルセーフ設計

多層防御：単一のセキュリティ機構の失敗が全体の侵害につながらないように層状に防御を配置します： - ネットワークのセグメント化とファイアウォール - 侵入検知・防止システム - 最新ルールセットを適用したWebアプリケーションファイアウォール - ランタイムアプリケーション自己防護（RASP） - セキュリティ情報・イベント管理（SIEM）と脅威インテリジェンス

脆弱性管理プログラム

脆弱性のライフサイクル管理を徹底します： - ベンダーのセキュリティアドバイザリや脅威情報の購読 - ソフトウェアとバージョンの正確な資産管理 - 自動脆弱性スキャンと評価 - 重要度に基づくパッチ適用のSLA設定 - 認証メカニズムに焦点を当てた定期的なペネトレーションテスト

より広い影響範囲：サプライチェーンとエコシステムのリスク

ReactやNext.jsの脆弱性は、現代ソフトウェア開発の根深い問題を浮き彫りにしています。Reactは168,640の依存関係を持ち、毎週5100万回以上ダウンロードされており、単一の脆弱性が多くの下流アプリに影響します。

組織は、セキュリティを自分たちだけの責任と考えることはできません。すべてのライブラリ、フレームワーク、依存関係のセキュリティ姿勢を引き継いでいるのです。これには:

ソフトウェア構成分析：自動ツールを導入し、オープンソースやサードパーティコンポーネントの脆弱性を追跡し、重要な問題を通知します。

ベンダーのセキュリティ評価：新技術採用前に、ベンダーのセキュリティ慣行や脆弱性公開・修正履歴を評価します。

迅速なアップデート体制：セキュリティアップデートを迅速に展開できるインフラとプロセスを整備します。

結論：認証バイパス時代の警戒心

未認証のリモートコード実行脆弱性は、最も深刻なセキュリティ欠陥の一つです。攻撃者は、インターネットから直接システムを掌握するために、複雑な攻撃チェーンや資格情報の解読を必要としません。Oracle Identity ManagerからReact Server Components、Fortinet FortiWebまで、最近の高プロファイルな認証バイパス脆弱性の増加は、成熟した大規模エンタープライズプラットフォームもこれらの根本的なセキュリティ失敗に脆弱であることを示しています。

CISAの警告は、CVEs-2025-61757が連邦企業にとって重大なリスクをもたらすとともに、民間企業にも同様に適用されることを示しています。ID管理システム自体が攻撃の入口となると、その連鎖的な影響は組織全体のインフラを危険にさらします。

今後の対策は、多角的なアプローチを必要とします：積極的なパッチ管理、防御の多層化、エクスプロイト兆候の継続的監視、そして侵害を前提としたゼロトラスト原則の徹底です。すべてのアクセスリクエストを検証し、出所に関係なく信頼しない姿勢が求められます。

セキュリティ専門家にとって明白なのは、認証バイパスの脆弱性は今後も出現し続けるということです。生き残り、繁栄する組織は、積極的な脆弱性管理、迅速な対応、そして一つの認証失敗が王国の鍵を渡すことにならない多層防御を実現している組織です。

城門は常に施錠され、守られ、継続的に監視される必要があります—なぜなら、デジタルの世界では、脅威は決して認証の欠如を見逃さないからです。