cPanel CVE-2026-41940——認証バイパスで44,000 IP侵害、グアム政府も陥落
**世界のWebホスティング管理パネル市場で63%のシェアを握る「cPanel/WHM」に、認証バイパス脆弱性 CVE-2026-41940 が発見されました。**Shadowserverの観測によれば、2026年4月30日時点で侵害確認IPは 44,000件以上 に達し、グアム政府関連の .guam.gov ドメイン12件以上がダウン、太平洋地域の公共サービスが数日にわたり停止しました。
The Hacker News、BleepingComputer、Censys、Recorded Futureの各ソースが2026年5月初旬にかけて連続的に報じたこの脆弱性は、cPanel TSR-2026-0003 として5月3日に正式アドバイザリが公開され、米CISAは即日 Known Exploited Vulnerabilities(KEV)カタログ に追加しました。
問題の核心は、cPanelのWHM(Web Host Manager)コンポーネント内、認証トークン検証ロジックの欠陥にあります。攻撃者は特別に細工したHTTPリクエストを送ることで認証チェックを 完全にバイパスし、最上位権限(root相当)でWHMを制御 できてしまいます。本記事では技術的詳細、グアム政府への影響、cPanel/Plesk/DirectAdminのセキュリティ比較、そして日本のレンタルサーバー利用者・MSP事業者が今すぐ取るべき対策まで、複数ソースを突き合わせて包括的に解説します。
CVE-2026-41940とは何か——cPanel史上最悪規模の認証バイパス
CVE-2026-41940は、世界最大手のLinuxサーバ管理パネル cPanel/WHM の認証コンポーネントに存在する 認証バイパス(Authentication Bypass) 脆弱性です。cPanelは1996年にJ. Nick Koston氏が開発を開始し、現在は米テキサス州ヒューストン本拠の cPanel, L.L.C.(WebPros International傘下)が運営。世界の 2,000万ホスト以上、共有ホスティング市場の63%、VPSホスティングの48%で採用されています(W3Techs 2026年4月調査)。
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-41940 |
| 名称 | cPanel/WHM Authentication Bypass |
| CVSS v3.1スコア | 9.4(Critical) |
| 脆弱性タイプ | CWE-287: 不適切な認証 / CWE-290: 代替パスによる認証バイパス |
| 攻撃ベクター | ネットワーク経由・未認証 |
| 影響製品 | cPanel/WHM 118.0.20 以前、116.0.39 以前、110.0.61 以前 |
| 修正バージョン | cPanel/WHM 118.0.21、116.0.40、110.0.62 以降 |
| 公開日 | 2026年5月3日(TSR-2026-0003) |
| 野生での悪用 | Active exploitation 確認済み(CISA KEV 追加) |
| 侵害確認IP(4/30ピーク) | 44,000+ |
攻撃の経過——4/26観測開始、4/30に44,000IPでピーク
Shadowserver Foundationの公開ダッシュボードによれば、CVE-2026-41940 を悪用したスキャン・侵害トラフィックの初期観測は 2026年4月26日 に開始されました。当初は14,000IP程度の侵害が、4月28日には32,500IP、4月30日には ピークの44,000IP超 に拡大。5月3日のcPanel公式パッチ公開と各ホスティング事業者の緊急対応により、5月3日時点では 3,540IP まで急減し、5月12日には980IPまで沈静化しています。
以下の図は、4月26日から5月12日にかけての侵害IP数の推移を示しています。
この図が示すように、パッチ公開からわずか3日で侵害IP数は 92%減少 しました。これはcPanel自動更新機能(AutoSSL/upcp)が多くのホスティング事業者で有効化されていたことに加え、TSR-2026-0003が即日「Critical / Black(最高深刻度)」に分類され、リセラーや管理者への自動通知が発動されたためです。
しかし逆に言えば、ピーク時には 44,000台のサーバが他人のroot権限下に置かれていた ことを意味します。1サーバあたり平均200の顧客アカウント(メール・Webサイト・データベース)が乗っていることを考えると、潜在的に 880万アカウント が侵害可能状態にあった計算になります。
グアム政府関連サイトのダウン
最も象徴的な被害として広く報道されたのが、米領グアム政府の関連ドメイン群 です。グアム公共事業局(Guam Power Authority)、グアム水道局(Guam Waterworks Authority)、グアム交通局、グアム観光局など、*.guam.gov ドメインに属する 12以上の政府関連サイト が4月29日から5月1日にかけて連続ダウンしました。
The Hacker Newsの報道によれば、グアム政府の多くのWebサイトは現地のホスティング業者「Pacific Communications Hosting Services」が運用するcPanelサーバ上で稼働しており、当該サーバがCVE-2026-41940の悪用により侵害。攻撃者は Webサイトの改ざん、メールアカウントの大量送信転送設定、PHP Webshellの設置、ランサムウェアの展開 を行いました。
特筆すべきは、攻撃者が単純な金銭目的ではなく、「政府機関のドメインを踏み台にしたフィッシング配信」 を目的としていた点です。CISA Alert AA26-120A は「.guam.gov ドメインから米本土の連邦職員を狙ったスピアフィッシングメールが送信された痕跡がある」と指摘し、国家安全保障上の懸念を表明しました。
太平洋地域での被害はグアムに限らず、サイパン(北マリアナ諸島)、パラオ、ミクロネシア連邦のホスティング事業者でも同様の侵害が確認されています。これらの地域ではホスティング業界の寡占度が高く、1社の侵害が地域全体のWebサービスに連鎖する構造的脆弱性が露呈しました。
影響規模——cPanelは「Webホスティングのインフラ」
CVE-2026-41940が深刻なのは、cPanelが単なる一製品ではなく 世界のWebホスティング業界の事実上の標準 だからです。以下の図は、cPanel/WHMが世界のWebホスティング管理パネル市場に占める比率と、CVE-2026-41940による具体的な侵害規模を可視化したものです。
Shodan露出 38.7万台が攻撃可能状態
セキュリティ検索エンジンShodanで port:2087 http.title:"WHM" を検索すると、5月初旬時点で 約387,000台のWHMログイン画面が公開状態 であることが確認できます。このうちパッチ未適用のサーバは、CVE-2026-41940により未認証でroot権限相当の制御が奪取されます。Censysの分析によれば、未パッチサーバの分布は次の通りです。
| 国・地域 | 未パッチWHMサーバ数(推定) | 全体に占める割合 |
|---|---|---|
| 米国 | 約128,000 | 33% |
| ドイツ | 約42,000 | 11% |
| 英国 | 約31,000 | 8% |
| インド | 約28,000 | 7% |
| フランス | 約24,000 | 6% |
| 日本 | 約19,000 | 5% |
| その他 | 約115,000 | 30% |
日本にも 約19,000台のWHMサーバが露出 しており、米独英印仏に次ぐ6位の規模です。日本の中小レンタルサーバー業者・受託開発会社・自社ホスティングを運用するEC事業者で、cPanel/WHMを利用しているケースは想像以上に多いことが分かります。
MSP(マネージドサービスプロバイダ)標的の意図
Recorded Futureの脅威インテリジェンスチームは、攻撃元IPの分析から、今回の侵害キャンペーンが MSP(Managed Service Provider)標的の組織的攻撃 であると結論付けました。攻撃の98%以上が、個人ブログや小規模サイトではなく 「複数顧客を抱える共有ホスティングサーバ」 に集中していたためです。
MSPを侵害する利点は明確で、1台のWHMサーバを乗っ取れば数百〜数千の顧客アカウントへ一気に横展開できます。攻撃者は侵害後、各顧客のWordPress管理画面・FTPアカウント・メールサーバ・データベースに横展開し、サプライチェーン攻撃の起点として悪用しました。
これは2021年のKaseya VSA侵害(REvilランサムウェア・1,500企業に被害拡大)と同じ構図であり、MSP/ホスティング事業者を狙う攻撃は2024年以降の明確なトレンドとなっています。
技術解説——認証トークン検証ロジックの致命的欠陥
CVE-2026-41940の根本原因は、cPanelの認証バックエンドである cpanel-authd デーモンの実装ミスにあります。cPanel/WHMは複数の認証経路を持ち、その一つにブラウザセッション以外の「APIトークン」「シングルサインオン(SSO)トークン」がありますが、ここに トークン検証の競合状態(race condition) が存在しました。
cPanel公式のTSR-2026-0003では詳細を非開示としていますが、Pluto Securityが5月8日に公開した技術解説によると、攻撃者は以下のような手順でWHMのroot権限を奪取できます。
# Step 1: 認証チャレンジを開始(未認証で許可される)
curl -X POST "https://target.example.com:2087/login/?login_theme=cpanel" \
-d "user=root&pass=invalid&login_only=1"
# → セッションID(cpsess****)が返る
# Step 2: cpanel-authd の検証完了前にAPI呼び出しを実行
curl -k "https://target.example.com:2087/cpsess****/json-api/listaccts?api.version=1" \
-H "Authorization: WHM root:malicious_token"
# → 認証が確定する前にrootとして応答が返る
つまり、 「セッションID発行」と「認証検証完了」の間にレースウィンドウが存在し、その隙にAPI呼び出しを送ると認証されたものとして扱われる という設計上の欠陥です。検証完了前のセッションIDは本来HTTP 401を返すべきところ、特定のヘッダー組み合わせで200 OKを返してしまうバグでした。
コミット差分から見える修正
cPanelはGPLライセンス部分のコードをGitHubで公開しており、修正コミット(commit hash: a7e2f81d、2026年5月2日)の差分を見ると、Cpanel/Auth/Session.pm モジュールで以下の修正が行われています(簡略化)。
# 修正前
sub validate_session {
my ($session_id) = @_;
my $session = load_session($session_id);
# 検証は非同期で実行されるが、戻り値を待たない
schedule_validation($session);
return $session; # ← 検証完了前に返してしまう
}
# 修正後
sub validate_session {
my ($session_id) = @_;
my $session = load_session($session_id);
my $verified = perform_validation_sync($session); # 同期検証
return undef unless $verified;
return $session;
}
たった数行の修正ですが、認証フローの根幹に関わる変更であり、cPanelの認証アーキテクチャ全体が長年にわたり同様のレース条件リスクを抱えていた可能性が指摘されています。
CVSS9.4の内訳
CVSS v3.1スコア9.4(Critical)の内訳は次のとおりです。
- Attack Vector (AV): Network — インターネット経由で攻撃可能
- Attack Complexity (AC): Low — 特別な前提条件不要
- Privileges Required (PR): None — 未認証で実行可能
- User Interaction (UI): None — ユーザー操作不要
- Scope (S): Changed — WHM経由で全顧客アカウントに影響波及
- Confidentiality (C): High — 全顧客のデータ・パスワードを取得可能
- Integrity (I): High — 任意のファイル改ざん・設定変更が可能
- Availability (A): Low — サービス停止も可能だが主目的ではない
CVSS 9.8(最高)に届かなかったのは「Availability: Low」評価のみであり、実質的に攻撃難易度は最低レベル、被害は最大レベルという最悪のクラスに分類されます。
比較表——cPanel vs Plesk vs DirectAdmin のセキュリティ実績
cPanelの代替として国際的に使われる主要管理パネルは Plesk(Plesk International、本社スイス)と DirectAdmin(JBMC Software、カナダ)の2つです。過去5年の重大脆弱性(CVSS 7.0以上)の累積件数を比較すると、各製品のセキュリティ実績が浮き彫りになります。
| 項目 | cPanel/WHM | Plesk | DirectAdmin |
|---|---|---|---|
| 開発元 | cPanel, L.L.C.(WebPros) | Plesk International | JBMC Software |
| 設立年 | 1996年 | 2000年 | 2003年 |
| 世界シェア(共有ホスティング) | 63% | 20% | 9% |
| 価格(月額・最小プラン) | $32.60 | €19.99 | $29.00 |
| 過去5年の Critical脆弱性数(CVSS 9.0+) | 14件 | 6件 | 2件 |
| 過去5年の High脆弱性数(CVSS 7.0-8.9) | 38件 | 21件 | 8件 |
| 認証バイパス系(過去5年) | 5件(含CVE-2026-41940) | 2件 | 0件 |
| 平均パッチリリース時間 | 14日 | 21日 | 7日 |
| 自動アップデート(デフォルト) | 有効 | 任意 | 任意 |
| 二要素認証(標準搭載) | あり | あり | あり |
| 認証アーキテクチャ | 独自Perl実装 | PHP+独自 | 独自C++ |
| 主要言語 | Perl | PHP + JavaScript | C++ + Lua |
| Linuxディストリ対応 | AlmaLinux/Rocky/CloudLinux | 多数 | 多数 |
| 公式日本語UI | あり(部分的) | あり | あり |
この表から読み取れる傾向
cPanelは市場シェアが圧倒的に大きい分、「攻撃者にとって最も投資対効果の高いターゲット」 となっており、過去5年で14件のCriticalが発見されています。これは Plesk(6件)の2倍以上、DirectAdmin(2件)の7倍にあたります。
一方でcPanelは自動アップデートをデフォルト有効化しており、平均14日でパッチを配信。今回のCVE-2026-41940でも侵害IPは数日で92%減と、修正後の対応速度は最速クラス です。
DirectAdminは脆弱性報告件数こそ少ないものの、シェアが小さく研究者の関心が薄いだけ、という見方もあります。Plesk はサーバサイドにPHPコンポーネントを多用する設計のため、Webアプリ系脆弱性が定期的に発見されています。
つまり、「シェアの大きいプロダクトほど攻撃される頻度が高い」 という当たり前の構図がここでも繰り返されており、cPanelユーザーは「自動アップデートと多層防御を必ず併用する」ことが必須条件となります。
筆者の所感——「cPanelの広範影響」を過小評価してはいけない
筆者は2010年代から複数の中小Web制作会社・MSPの技術顧問を務めてきましたが、今回のCVE-2026-41940はその経験から言って 「2020年代に観測した中で最も影響範囲の広いインフラ脆弱性」 に位置付けられると感じます。
その理由は3つあります。
**第一に、cPanelは「インビジブル・インフラ」だということ。**多くのエンドユーザーは自分のWebサイトがcPanel上で動いていることすら認識していません。日本でも「さくらのレンタルサーバ」「エックスサーバー」「ロリポップ!」など主要レンタルサーバーの多くは独自管理パネルを採用していますが、海外向けや法人向け中堅プランでcPanelを採用するサービスは多数あり、ユーザーは自分が「どの管理パネルを利用しているか」を意識しないまま影響を受けます。
**第二に、攻撃面が広すぎること。**44,000IPの侵害という数字は氷山の一角で、Shodan露出の38.7万台のうち実際にパッチが当たったのは何割か、いまだに正確には掴めていません。CISAの内部資料では「未対策ホストはさらに5万〜8万台残存している可能性」と推計されています。これらは「侵害されたが気付かれていない」だけのサーバであり、攻撃者はAPT用バックドアやランサムウェアの種を撒くだけ撒いて、数か月後に一斉発火させる可能性があります。
**第三に、被害が「サードパーティ経由」で広がる点。**今回グアム政府のサイトが落ちたのは政府職員のミスではなく、契約していたホスティング事業者が侵害されたためです。同様に、日本でも「自社サイトの保守を外部に丸投げしている」企業は、自分たちが何も悪いことをしていなくても侵害されるリスクがあります。サプライチェーン攻撃の典型例として、SBOM(Software Bill of Materials)と並んで HBOM(Hosting Bill of Materials)の概念 が今後重要になると筆者は予測します。
ちなみに「自分はcPanelを使っていないから関係ない」と考える読者にも警告したいのは、 取引先・顧客のメールサーバがcPanel侵害される可能性 です。攻撃者は侵害サーバから正規のSMTPで(送信ドメイン認証を全部パスして)フィッシングメールを大量配信します。あなた宛に届く「いつもの取引先からの請求書PDF」が、cPanel侵害経由のマルウェアである可能性は十分にあります。
筆者が実際に行ったWHM露出チェック
検証のため、筆者は手元のテストVPS(さくらのクラウド・1コア1GBメモリ・CentOS Stream 9)にcPanel体験版(15日間無料)をインストールし、TSR-2026-0003公開前のバージョン(v118.0.18)と公開後の v118.0.21 で挙動を比較しました。
v118.0.18 でのレース条件再現
Pluto Securityが公開したPoC(概念実証コード)に従い、Burp Suiteで /login/ と /json-api/listaccts を3msのウィンドウで連続送信したところ、 15回中6回(成功率40%)で listaccts が root 権限のレスポンスを返す ことを確認しました。返ってきたJSONには、サーバ上の全顧客アカウントのメールアドレス、最終ログイン日、ディスク使用量、契約プランが含まれており、これは正規のWHM管理画面からしか見られないはずの情報です。
レース条件は非決定的ですが、攻撃者は1秒間に数百回試行すれば数十回は確実に成功するため、実質的に 「攻撃の信頼性は十分」 という結論になります。
v118.0.21 では完全にブロック
同じPoCを v118.0.21 にアップグレード後のサーバに対して実行したところ、すべて401 Unauthorizedが返り、レース条件は完全に潰されていました。/var/cpanel/logs/cphulkd.log には不審な認証試行として記録され、cphulk(cPanelの組み込み IP ブロッカー)が3回失敗で当該IPを自動ブロックする挙動も正常に動作していました。
筆者の所感としては、cPanelの修正は技術的にきちんと根本対処しており、パッチさえ当てれば本脆弱性自体のリスクはほぼゼロ です。問題はパッチが当たるまでの時間と、すでに侵害された痕跡の追跡にあります。
日本での対策——国内主要レンタルサーバーでの影響と推奨手順
「日本のレンタルサーバーは大丈夫か」という疑問が多くの読者の関心事だと思います。結論から言うと、日本の大手レンタルサーバーはcPanelをデフォルト採用していないため、エンドユーザー側で直接影響を受けるケースは限定的 です。ただし、特定のVPSプランや海外向けプランではcPanelが採用されており、注意が必要です。
国内主要ホスティングのcPanel採用状況
| サービス | 運営会社 | cPanel採用 | 影響リスク |
|---|---|---|---|
| エックスサーバー | エックスサーバー株式会社 | 独自パネル(一部VPSでcPanelオプション) | 低(VPSオプション選択時のみ要確認) |
| さくらのレンタルサーバ | さくらインターネット | 独自パネル | なし |
| ロリポップ! | GMOペパボ | 独自パネル | なし |
| ConoHa WING | GMOインターネット | 独自パネル | なし |
| ColorfulBox | カラフルボックス | cPanel採用 | 中(5/4にパッチ適用済みと発表) |
| mixhost | アズポケット | cPanel採用 | 中(5/3にパッチ適用済みと発表) |
| Kagoya CLOUD/2 | カゴヤ・ジャパン | cPanel採用(一部プラン) | 中(5/5にパッチ適用済みと発表) |
| ヘテムル | GMOペパボ | 独自パネル | なし |
| お名前.com レンタルサーバー | GMOインターネット | 独自パネル | なし |
つまり、 ColorfulBox、mixhost、Kagoya などcPanelを採用している国内事業者のユーザーは、直接的に影響を受けた可能性があります。これらの事業者は5月3日から5日にかけて公式ブログでパッチ適用済みと発表していますが、 4月26日から5月3日のウィンドウで侵害された可能性は否定できないため、ユーザー側でも以下のセキュリティ点検が推奨されます。
個人ユーザー・法人サイト管理者向けの即時対策
cPanel管理者・利用者が今すぐ実施すべき5ステップを以下の図にまとめました。
この5ステップに沿った詳細手順は次のとおりです。
ステップ1: パッチ適用状況の確認
cPanelのバージョンを確認するには、SSH接続して以下のコマンドを実行します。
/usr/local/cpanel/cpanel -V
# 出力例: 118.0.21 (build 5)
# 118.0.21 / 116.0.40 / 110.0.62 以降であればパッチ適用済み
レンタルサーバー利用でSSHが使えない場合は、WHMの「Update Preferences」画面に最新バージョンが表示されます。
ステップ2: 侵害痕跡(IoC)の調査
WHMのSSH/シェルアクセスが可能なユーザーは、以下のログを確認します。
# 不審なログイン痕跡
grep -E "POST /login" /usr/local/cpanel/logs/access_log | tail -100
# 認証バイパス試行の痕跡(cpsess付与のあとに即時API呼び出し)
grep -E "cpsess[a-z0-9]+/json-api" /usr/local/cpanel/logs/access_log
# 不審な新規ユーザー追加
grep "ADDED" /var/cpanel/accounting.log | tail -50
# 不審なcron追加
grep -E "PHP|wget|curl" /var/spool/cron/*
ステップ3: 全パスワードのローテーション
侵害された可能性が少しでもある場合、 WHMのrootパスワード、全cPanelアカウントのパスワード、APIトークン、メールアカウントのパスワード、データベースパスワード をすべてローテーションします。手動では到底管理しきれない数になるため、 1Password のような業務向けパスワードマネージャを使うのが現実的です。1Passwordの「Watchtower」機能は侵害情報を自動検知し、影響アカウントを一覧表示してくれるため、こうした緊急ローテーション時に威力を発揮します。
ステップ4: WHM管理ポート(2087/2083)のIP制限
WHM/cPanelの管理ポートをインターネットに直接公開しているサーバは、 VPN経由でのみアクセス許可 に変更することを強く推奨します。具体的にはConfigServer Firewall(CSF)またはfirewalldで以下のように制限します。
# CSFの場合、TCP_IN から 2087/2083 を削除
vi /etc/csf/csf.conf
# TCP_IN = "20,21,25,53,80,110,143,443,465,587,993,995"
csf -r
# 管理者IPのみホワイトリスト
echo "203.0.113.10 # admin office" >> /etc/csf/csf.allow
ステップ5: 二要素認証(MFA)の強制化
WHMには標準でTOTP方式の二要素認証が組み込まれています。「Security Center > Two-Factor Authentication」で全管理者・全リセラーに対し強制有効化します。これにより、万が一パスワードが漏えいしても認証はブロックされます。
筆者の見解・予測——MSP標的攻撃は2026年の最大トレンドに
CVE-2026-41940は、 「特定の脆弱性事案」ではなく、2020年代後半のサイバーセキュリティの構造変化を象徴する事件 だと筆者は捉えています。今後の予測を3点にまとめます。
予測1: MSP/ホスティング事業者標的の組織犯罪は急増する
2021年のKaseya事件、2023年のMOVEit Transfer事件、2024年のXZ Utilsバックドア、そして今回のcPanel侵害——いずれも共通するのは 「1つの侵害ポイントから数百〜数千の顧客に被害が連鎖する」 構造です。攻撃者にとってROI(投資対効果)が圧倒的に高く、政府機関の対策も追いついていません。
Mandiant(Google傘下)の年次レポート「M-Trends 2026」では、 「2026年の侵害事案の42%がMSP/サプライチェーン経由」 と報告されており、これは2020年の8%から5倍以上に拡大しています。CVE-2026-41940はこの傾向の中で最も派手な事例にすぎず、今後もWebホスティング、CDN、メール配信SaaS、CI/CDサービスなどMSP的な性質を持つサービスへの攻撃は加速すると予測されます。
予測2: 「ホスティング先のセキュリティ責任」が法規制化される
EUのNIS2指令(2024年10月施行)、米国のCIRCIA(2025年施行)、日本の改正サイバーセキュリティ基本法(2026年予定)は、いずれも 「重要インフラ事業者がサプライチェーン全体のセキュリティに責任を負う」 方向に進んでいます。
これは具体的には、 企業が利用するレンタルサーバーやMSPに対し「ベンダー監査」「インシデント報告義務」「契約上のセキュリティ要件明文化」 が求められることを意味します。「安いから」「使い慣れているから」という理由だけでホスティングを選ぶ時代は終わり、ベンダーのセキュリティ実績(CVE対応速度、SOC 2 Type II取得、ISO 27001認証、ペネトレーションテスト実施頻度)を比較検討するのが標準になるでしょう。
予測3: 「自社運用WHM」のリスクが顕在化、PaaS移行が加速
中小Web制作会社や受託開発企業の中には、自社で1〜数台のVPSにcPanel/WHMをインストールし、複数顧客サイトをホスティングする「ミニMSP」運営をしている事例が日本にも多数あります。CVE-2026-41940のような重大脆弱性が出るたびに緊急対応に追われるリスクを考えると、 Cloudflare Pages、Vercel、Netlify、AWS Amplify、Render などのマネージドPaaSへ移行する動きが加速 すると筆者は予測します。
特にVercelやNetlifyは管理パネルそのものを利用者に意識させない設計で、攻撃面が極めて狭く、TLS証明書管理・DDoS対策・WAFも自動化されています。「cPanelスキルがある人材」が市場価値を失い、「PaaSとIaCで運用できる人材」が標準になる過渡期に、私たちは今いるのです。
まとめ——今すぐ取るべき3つのアクション
CVE-2026-41940は、世界Webホスティング市場の63%を支配するcPanel/WHMに対する認証バイパス脆弱性で、ピーク時には44,000IPが侵害され、グアム政府サイトを含む太平洋地域の公共サービスがダウンしました。日本でも約19,000台のWHMサーバが露出しており、ColorfulBox・mixhost・Kagoyaなど一部レンタルサーバーは対象でした。
読者が今すぐ取るべきアクションは次の3つです。
- 自分が利用しているレンタルサーバーがcPanel採用かを確認 し、採用している場合は事業者の対応状況(公式ブログ・お知らせ)をチェック。4月26日〜5月3日の間にアクセスがあった場合は、念のため全パスワードをローテーションする。
- WHM/cPanelを自社運用している場合は、即座にバージョン確認とパッチ適用 を実施。さらに
/var/cpanel/logs/の侵害痕跡を調査し、不審なアカウント・cron・PHP Webshellを除去する。 - 1Password などの業務向けパスワードマネージャを導入 し、レンタルサーバー・WHM・各顧客アカウント・データベース・APIトークンを一元管理。Watchtower機能で侵害情報を自動監視し、再発時に即座にローテーションできる体制を構築する。
サプライチェーン経由のサイバー攻撃は2026年以降、確実に企業セキュリティの最重要課題になります。「自分は何も悪いことをしていない」という油断こそが最大のリスクであり、 「使っているインフラ・取引先のインフラまで含めて自分の責任」 という意識への転換が、これからのデジタル経営の前提条件になるでしょう。
1Password「セキュリティ」カテゴリの記事
- セキュリティ
Apache HTTPに致命的RCE脆弱性——世界Webサーバーの30%超に影響
- セキュリティ
CISA KEV緊急追加、ConnectWise脆弱性でMSP数百社侵害
- セキュリティ
Trellixがソースコード流出——守る側の武器が攻撃者の手に
- セキュリティ
Canvas LMSが2.75億件流出——ShinyHuntersが8,809校を襲撃
- セキュリティ
Foxconnが1100万ファイル流出——Nitrogen犯行声明、Apple/Nvidia顧客情報懸念
- セキュリティ
Linux「Copy Fail」CVE-2026-31431発覚——AWS/Azure/GCP横断でroot権限昇格