CISA KEV 警告 26/05/22:Drupal Core の脆弱性 CVE-2026-9082 を KEV に登録

CISA Warns Drupal Core SQL Injection Vulnerability Is Being Exploited in Attacks

2026/05/25 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Drupal Core に存在する深刻な SQL インジェクションの脆弱性 CVE-2026-9082 に関する緊急警告を発出した。現在、この脆弱性は実環境で活発に悪用されている。この CVE-2026-9082 が CISA の Known Exploited Vulnerabilities (KEV) カタログに追加されたことで、影響を受ける Drupal 環境を使用している組織には、高いリスクが生じていることが明らかになった。

Drupal Core SQL インジェクションの脆弱性

この Drupal Core に影響を及ぼす脆弱性は、プラットフォームのデータベース抽象化 API におけるユーザー入力処理の不備に起因する。その分類は、CWE-89 (SQL インジェクション) であり、攻撃者は細工されたリクエストを送信することで、悪意の SQL クエリを実行できる。 

悪用に成功した攻撃者は、権限昇格/高機密性データベースへのアクセス/脆弱なシステム上でのリモートコード実行 (RCE) を達成する可能性がある。これにより、コンテンツ管理やバックエンド運用に Drupal を利用する、Web サイトでのリスクが大幅に高まる。

  • CVE ID: CVE-2026-9082 
  • 影響製品: Drupal Core 
  • 脆弱性種別: SQL インジェクション (CWE-89) 
  • 影響: 権限昇格/データ漏えい/RCE の可能性 
  • 悪用状況: 実環境で悪用中

CISA は、2026年5月22日に CVE-2026-9082 を KEV カタログへ追加し、米国連邦機関に対して 2026年5月27日までの対処を義務付けた。この登録は、実際の攻撃において悪用活動が確認されていることを示している。ただし、現時点では、この脆弱性とランサムウェア・キャンペーンとの関連は公表されていない。 

Binding Operational Directive (BOD) 22-01 に基づき、連邦機関はベンダー推奨の緩和策を適用するか、修正プログラムが利用できない場合は影響を受ける製品の使用を停止しなければならない。 

Drupal のデータベース層を標的とする未認証のリモート攻撃者は、細工済み HTTP リクエストを送信することで、この脆弱性を悪用できる。多数のエンタープライズ/政府系 Web サイトで利用されている Drupal であるため、攻撃対象範囲はきわめて広い。 

特に、データベース・アクセス制御が不十分な環境や、Web Application Firewall (WAF) が SQL インジェクション攻撃を検知できるようコンフィグされていない環境では、さらにリスクが高まる。

対策と推奨事項

Drupal Core を使用する組織に対して強く推奨されるのは、直ちに以下を実施することである。

  • Drupal セキュリティ・チームが公開した最新セキュリティ・パッチを適用。
  • データベース・アクセス制御の見直し/強化。
  • SQL インジェクション検知用の WAF ルールの導入/更新。
  • 異常なクエリ・パターンや不審なデータベース活動をログで監視。
  • 是正措置スケジュールについて CISA BOD 22-01 ガイダンスに従う。

パッチの即時適用が困難な場合には、脆弱なサービスの一時停止や外部アクセス制限を検討する必要がある。

このインシデントが浮き彫りにするのは、広く利用される Content Management System (CMS) を標的とする攻撃者が、そこから企業環境への侵入を試みる傾向である。SQL インジェクションは、その単純さと影響の大きさから、依然として最も悪用される脆弱性の 1 つである。 

セキュリティ・チームはパッチ管理を最優先とし、CVE-2026-9082 および類似脆弱性に関する脅威インテリジェンスを継続的に監視する必要がある。この種の脆弱性の悪用が継続する中、データ侵害やシステム侵害を防止するためには、迅速かつ適切な対処が不可欠である。

訳者後書:この記事で取り上げられている脆弱性 CVE-2026-9082 は、プラットフォームのデータベース抽象化 API における、ユーザー入力処理の不備に起因するものです。Web サイトに入力されたデータを、プログラムが正しくチェックできない状態で処理するため、攻撃者が悪意のある命令を直接データベースに送り込める状態になっていました。この問題により、本来はアクセスできないはずの機密データの窃取や、リモートからのシステム操作などの危険が生じています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。