StrongDM の脆弱性 CVE-2026-4387 が FIX:認証情報の窃取と不正アクセスの恐れ

Critical StrongDM Vulnerability Allows Attackers to Steal and Reuse Authentication

2026/06/02 CyberSecurityNews — StrongDM のデスクトップ・アプリケーションにおいて、深刻な脆弱性 CVE-2026-4387 が発見された。この脆弱性を悪用する攻撃者は、ローカルに保存された認証情報を再利用することでユーザーセッションを乗っ取り、エンタープライズ・インフラの高機密性リソースを危険にさらす恐れがあることが明らかとなった。

この脆弱性は、SpecterOps によるセキュリティ評価中に発見され、すでに StrongDM Desktop バージョン 23.74.0 および CLI バージョン 53.77.0 で修正されている。脆弱性CVE-2026-4387 の根本的な原因は、StrongDM がセッション・データをディスク上に保存する方法に起因している。

具体的に言うと、ログイン成功後の認証情報が、アプリケーションにより “C:\Users<username>.sdm\state.kv” に保存されるが、このファイルには JSON Web Token (JWT) に加えて公開鍵と秘密鍵のペアが、すべて平文で記録されていた。

深刻な StrongDM の脆弱性

このファイルへのアクセスで必要とされるのは、ユーザー・レベルの権限のみであるため、システム上の攻撃者は権限昇格を行うことなくファイルを抽出できる状態にある。認証情報を Key-Value で保存する “state.kv” ファイルが、正規ユーザーになりすますために再利用可能であることを、SpecterOps が実証している。

侵害されたシステム上の “state.kv” ファイルを、攻撃者がコピーして別のマシンへ配置することで、StrongDM クライアントを自動的に被害者として認証させ、認証情報なしでインフラ・リソースへアクセスできることが明らかとなっている。

Decoded JWT(source : specterops )
Decoded JWT(source : specterops )

この攻撃は、外部ホスト間でも確実に機能し、アプリケーション起動後にファイルを置き換えることで起動時のファイル保護機能の回避を可能にする。さらに、”http://127.0.0.1:65220/v2/authentication&#8221; のローカル・エンドポイントが、最小限のヘッダーによるクエリで JWT トークンを返していたことも判明した。

さらに、”data_1″ などのキャッシュ・ファイルにも機密性の高い認証データが保存されていた。セッション・トークンとホスト環境との間にバインディングが存在しないため、異なるシステム間で認証情報を再利用することが可能となっていた。

StrongDM Resource Connection(source : specterops )
StrongDM Resource Connection (source : specterops )

この脆弱性により、攻撃者は認証情報を必要とせずに、完全なセッション乗っ取りを可能にする。StrongDM により管理されるデータベース/サーバー/クラウド・リソースへのアクセスが攻撃者に許され、エンタープライズ環境内での横方向への移動の可能性も生じる。ユーザー・レベル権限のみで悪用が可能になるため、侵害後のシナリオにおける障壁が大幅に引き下げられる。

すでに StrongDM は、機密性の高い認証データの平文による保存を廃止することで、この問題に対処している。更新後のバージョンでは、Windows の DPAPI や macOS の Keychain といった、プラットフォーム・ネイティブのセキュアな保存メカニズムが使用されるようになった。

State.kv File Reuse Verification (source : specterops )
State.kv File Reuse Verification (source : specterops )

さらに、JWT が “state.kv” ファイルに保存されなくなり、システム間での再利用も防止された。実際のセキュリティ検証においても、ホスト間でセッション・ファイルを移動/転送した際の、認証済みアクセスが成立しないことが確認されている。

この脆弱性は 2025年5月に報告され、2026年3月に修正が実装されたが、SpecterOps によると CVE-2026-4387 は 2026年5月29日に公開され、その後の 2026年6月1日に広範な情報開示が行われた。潜在的なリスクを軽減するために、ユーザーに対して強く推奨されるのは、最新バージョンへの速やかなアップデートである。

このインシデントが浮き彫りにするのは、安全でないローカル認証情報保存の危険性である。認証トークンを安全に保護し、適切なセッション・バインディングを実装することが、認証情報の再利用攻撃を防止する上で極めて重要であることを示している。

訳者後書:今回の StrongDM における脆弱性 CVE-2026-4387 は、認証情報の保存方法に主な原因がありました。本来であれば厳重に守られるべきセッション・データが、ローカル環境内に平文の状態で保存されていたことが問題視されています。具体的には、ログイン時に生成される大切なトークンや鍵のペアが、特別な権限を持たないユーザーでも読み取れる状態でディスクに記録されていました。また、認証情報が特定の端末に紐付けられていなかったため、別のコンピュータへコピーするだけで簡単に再利用できてしまう仕組みになっていたことも被害を広げる要因です。ご利用のチームは、ご注意ください。